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RHR CRAB Hello World》 有 着 类 似 的 心路 历程 ， 旨 在 以 实验 的 方式 去 探究 
类 似 Hello World 这 样 的 小 程序 在 开发 与 执行 过 程 中 的 微妙 变化 ， 一 层 层 揭 开 
C 语言 程序 开发 过 程 的 神秘 面纱 ， 透 视 背 后 的 秘密 ， 不 断 享受 醒 柄 灌顶 的 美妙 。 


介绍 
e 项 目 首页 : http://www.tinylab.org/open-c-book 
e 代码 仓库 : https://github.com/tinyclub/open-c-book 


e 在 线 阅读 : http://tinylab.gitbooks.io/cbook 
e 实验 云 台 : 在 线 学 Linux? Linux 0.11 ° EA > Shell? C... 


更 多 背景 和 计划 请 参考 : 训 言 。 
编译 
要 编译 本 书 ， 请 使 用 Markdown Lab。 
纠 错 
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直接 修复 并 提交 Pull Request。 
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更 多 原创 开源 书籍 


e Shell 编程 范例 
e a AX Linux 知识 库 (eLinux.org 中 文 版 ) 
e Linux 内 核 文档 (Linux Documentation/ 中 文 版 ) 
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Description 


调整 格式 ， 修 复 链 
接 


初稿 


笔者 2007 年 开始 系统 地 学 习 Shell 编程 ， 并 在 兰 大 开源 社区 写 了 序列 文章 。 


在 编写 《Shell 编程 范例 》 文 章 的 《进程 操作 》 一 章 时 ， 为 了 全 面 了 解 进 程 的 来 龙 
去 脉 ， 对 程序 开发 过 程 的 细节 、ELF 格式 的 分 析 、 进 程 的 内 存 映像 等 进行 了 全 面 地 
梳理 ， 后 来 搞 得 “ 雪 球 越 滚 越 大 ”， 甚 至 脱离 了 Shell 编程 关注 的 内 容 。 所 以 想 了 个 
小 办 法 ，“ 大 事 化 小 ， 小 事 化 了 ”， 把 涉及 到 的 内 容 进 行 了 分 解 ， 进 而 演化 成 另外 一 
个 完整 的 序列 。 


2008 年 3 月 1 日 ， 当 初步 完成 整个 序列 时 ， 做 了 如 下 的 小 结 


到 今天 ， 关 于 "Linux 下 C 语言 开发 过 程 " 的 一 个 简单 视图 总 算 粗 略 地 完成 了 ， 
从 寒假 之 前 的 一 rrr 将 近 一 个 月 左右 吧 。 写 这 个 主题 的 目的 源 
Á “Shell 编程 范例 之 进程 操作 ”， 当 写 到 这 一 章 时 ， 突 然 对 进程 的 由 来 、 本 身 和 
去 向 感到 “迷惑 不 解 "。 所 以 想 着 好 好 花 些 时 间 来 弄 清楚 它们 ， 现 在 发 现 ， 这 个 
由 来 就 是 这 里 的 程序 开发 过 程 ， 进 程 来 自 一 个 普通 的 文本 文件 ， 在 这 里 是 C 语 
言 程序 ，C 语言 程序 经 过 编辑 、 预 处 理 、 编 译 、 汇 编 、 链 接 、 执 行 而 成 为 一 个 
进程 ; 而 进程 本 身 呢 ? 当 一 个 可 执行 文件 被 执行 以 后 ， 有 了 exec 调用 ， 被 程 
序 解 释 器 映射 到 了 内 存 中 ， 有 了 它 的 内 存 映像 ; 而 进程 的 去 向 呢 ? 通过 不 断 地 
执行 指令 和 内 存 映像 的 变化 ， 进 程 完 成 着 各 项 任务 ， 等 任务 完成 以 后 就 可 以 退 
出 了 (exit) 。 
EN sine coed le dine ; 不 过 到 现在 
才 明 白 背 后 的 很 多 细节 。 这 些 细节 就 是 这 个 序列 的 每 个 篇 章 ， 可 以 对 照 “ 视 
图 ?来 阅读 它们 。 


1" hello.c ¥ 


Example Tool 


include <stdio.h> : Real Problem 


Int main(int argc, char argv D) 





Shell Command Line 
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C Language Programming Procedure in Linux 


前 整个 序列 大 部 分 都 已 经 以 Blog 的 形式 写 完 ， 大 体 结 构 目下 : 


《把 VIM 打造 成 源 代 码 编 辑 器 》 
o 源 代 码 编 辑 过 程 : 用 VIM 编辑 代码 的 一 些 技巧 
o 更 新 时 间 : 2008-2-22 


《GCC 编译 的 背后 》 

o 编译 过 程 : 预 处 理 、 编 译 、 汇 编 、 链 接 

o 第 一 部 分 : 《 预 处 理 和 编译 》 (更 新 时 间 : 2008-2-22) 
o 第 二 部 分 : 《汇编 和 链接 》 (更 新 时 间 : 2008-2-22) 


《程序 执行 的 那 一 闲 那 》 
o 执行 过 程 : 当 从 命令 行 输入 一 个 命令 之 后 
o 更 新 时 间 : 2008-2-15 


《进程 的 内 存 映像 》 
o 进程 加 载 过 程 : 程序 在 内 存 里 是 个 什么 样子 ? 


o 第 一 部 分 (讨论 “缓冲 区 溢出 和 注入 "问题 ) (更 新 时 间 : 2008-2-13) 
o 第 二 部 分 (讨论 进程 的 内 存 分 布 情 况 ) (更 新 时 间 : 2008-6-1) 


《进程 和 进程 的 基本 操作 》 
o 进程 操作 : 描述 进程 相关 概念 和 基本 操作 
o 更 新 时 间 : 2008-2-21 


© 《动态 符号 链接 的 细节 》 
o 动态 链接 过 程 : 函数 puts/printf 的 地 址 在 哪里 ? 
o 更 新 时 间 : 2008-2-26 


e。 《打造 史上 最 小 可 执行 ELF 文 件 》 
o ELF 详解 : 从 "减肥 ?的 角度 一 层 一 层 剖 开 ELF 文件 ， 最 终 获 得 一 个 可 打印 
Hello World 的 45 字 节 ELF 可 执行 文件 
o 更 新 时 间 : 2008-2-23 


e 《代码 测试 、 调 试 与 优化 小 结 》 
o 程序 开发 过 后 : 内 存 溢出 了 吗 ? 有 缓冲 区 溢出 ? RR mB te fq MIA ? 
怎么 调试 汇编 代码 ? 有 哪些 代码 优化 技巧 和 方法 呢 ? 
o 更 新 时 间 : 2008-2-29 


计划 


考虑 到 整个 Linux HORA EW ARE > Linux 和 C 语言 的 应 用 环境 越 来 越 多 ， 相 关 使 
用 群体 会 不 断 增加 ， 所 以 最 近 计划 把 该 序列 重新 整理 ， 以 自由 书籍 的 方式 不 断 更 
新 ， 以 便 惠 及 更 多 的 读者 。 


打算 重新 规划 、 增 补 整 个 序列 ， 并 以 开源 项 目的 方式 持续 维护 ， 并 通过 AHR 
技 |TinyLab.org 平台 接受 读者 的 反馈 ， 直 到 正式 发 行 出 版 。 


自由 书籍 将 会 维护 在 泰 晓 科技 的 项 目 仓库 中 。 项 目 相 关 信 息 如 下 : 


e 项 目 首页 : http:/www.tinylab.org/open-c-book/ 
e 代码 仓库 : https://github.com/tinyclub/open-c-book.git 


欢迎 大 家 指出 本 书 初 稿 中 的 不 足 ， 甚 至 参与 到 相关 章节 的 写作 、 校 订 和 完善 中 来 。 


如 果 有 时 间 和 兴趣 ， 欢 迎 参 与 。 可 以 通过 AMAL 联系 我 们 ， 或 者 直接 关注 微 博 
@ 泰 晓 科 技 并 私信 我 们 。 


把 Vim 打造 成 源 代 码 编辑 器 


Bile 


o 
a 
= 


o 常规 操作 
o 打开 文件 
o 编辑 文件 
o 保存 文件 
o 退出 /关闭 
o 命令 模式 
o 编码 风格 与 indent 命令 
o 用 Vim 命令 养 成 良好 编码 风格 
e 相关 小 技巧 
e 后 记 
e 参考 资料 


wh 


By 
程序 开发 过 程 中 ， 源 代码 的 编辑 主要 是 为 了 实现 算法 ， 结 果 则 是 一 些 可 阅读 的 、 便 
于 检 错 的 、 可 移植 的 文本 文件 。 如 何 产 生 一 份 良好 的 源 代 码 ， 这 不 仅 需 要 一 些 良好 
的 编辑 工具 ， 还 需要 开发 人 员 养 成 良好 的 编程 修养 。 

Linux 下 有 很 多 优秀 的 程序 编辑 工具 ， 包 括 专业 的 文本 编辑 器 和 一 些 集成 开发 环境 


(IDE) 提供 的 编辑 工具 ， 前 者 的 代表 作 有 Vim 和 Emacs， 后 者 的 代表 作 则 有 
Eclipse，Kdevelop，Anjuta 等 ， 这 里 主要 介绍 Vim 的 基本 使 用 和 配置 。 


第 规 操作 


通过 Vim 进行 文本 编辑 的 一 般 过 程 包括 : 文件 的 打开 、 编 辑 、 保 存 、 关 闭 /退出 ， 
而 编辑 则 包括 插入 新 内 容 、 赫 换 已 有 内 容 、 查 找 内 容 ， 还 包括 复制 、 粘 贴 、 删 除 等 
基本 操作 。 


该 过 程 如 下 图 : 


命 今 行 键 和 Kvim file_name 









按 下 字母 v/V 或 者 CTRL+V 


一 一 一 一 > 
按 下 ESC 或 者 CTRL+ 


按 下 字母 如 a/A/o/AO 等 或 者 nselt 刍 


Hie : 包括 各 种 正常 模式 、 可 视 柑 式 、 按 下 目 号 ; 热 行 完 后 返回 
插入 模式 和 命令 模式 等 ， 正 常 模 式 就 是 打 玫 
文件 之 后 默认 进入 的 模式 ， 在 这 个 类 式 下 可 
以 进行 字符 查找 、 刊 除 、 复 制 、 粘 贴 、 替 换 
等 。 插 入 模式 用 于 文本 链 入 ,命令 模 式 用 于 
执行 一 些 比 较 扩 懂 的 功能 和 复杂 的 编辑 命令 
， 可 视 模式 用 于 光标 逃 择 字符 摆 区 块 ， 以 便 
命令 模式 对 这 些 区 块 进行 澡 作 , 


按 下 字符 w 


下 面 介绍 几 个 主要 操作 : 


在 命令 行 下 输入 vim 文件 名 即 可 打开 一 个 新 文件 并 进入 Vim 的 “编辑 模式 ”。 
编辑 模式 可 以 切换 到 命令 模式 ( 按 下 字符 : ) 和 插入 模式 ( 按 下 字母 
a/A/i/1/0/0/s/S/c/C 等 或 者 Insert 键 ) 。 

编辑 模式 下 ，Vim 会 把 键盘 输入 解释 成 Vim 的 编辑 命令 ， 以 便 实 现 诸 如 字符 串 查找 
( 按 下 字母 / )、 文 本 复制 ( 按 下 字母 yy ) 、 粘 贴 ( 按 下 字母 pp ) 、 删 除 〈 按 
下 字母 d 等 ) 、 替 换 ( s ) 等 各 种 操作 。 


当 按 下 a/A/i/I/0/0/s/S/c/C 等 字符 时 ，Vim 先 执行 这 些 字符 对 应 命令 的 动作 
(比如 移动 光标 到 某 个 位 置 ， 删 除 某 些 字符 ) ， 然 后 进入 插入 模式 ;进入 插入 模式 
后 可 以 通过 按 下 ESC 键 或 者 是 CTRL+C 返回 到 编辑 模式 。 

在 编辑 模式 下 输入 冒号 ; 后 可 进入 命令 模式 ， 通 过 它 可 以 完成 一 些 复 杂 的 编辑 功 
能 ， 比 如 进行 正则 表达 式 匹 配 替换 ， 执 行 Shell 命令 ( 按 下 1 HA) Fo 
实际 上 ， 无 论 是 插入 模式 还 是 命令 模式 都 是 编辑 模式 的 一 种 。 而 编辑 模式 却 并 不 止 
它们 两 个 ， 还 有 字符 串 查 找 、 删 除 、 赫 换 等 。 

需要 提 到 的 是 ， 如 果 在 编辑 模式 按 下 字母 v/V 或 者 是 CTRL+V ， 可 以 用 光标 选 
择 一 个 区 块 ， 进 而 结合 命令 模式 对 这 一 个 区 块 进行 特定 的 操作 。 


编辑 文件 


打开 文件 以 后 即 可 进入 编辑 模式 ， 这 时 可 以 进行 各 种 编辑 操作 ， 包 括 插 入 、 复 制 、 
删除 、 替 换 字 符 。 其 中 两 种 比较 重要 的 模式 经 常 被 “独立 "出 来 ， 即 上 面 提 到 的 插入 
模式 和 命令 模式 。 


保存 文件 


在 退出 之 前 需 切 换 到 命令 模式 ， 输 入 命令 w 以 便 保存 各 种 编辑 后 的 内 容 ， 如 果 想 
取消 菜 种 操作 ， 可 以 用 u 命令 。 如 果 打 开 Vim 编辑 器 时 没有 设 定 文件 名 ， 那 么 
在 按 下 w 命令 时 会 提示 没有 文件 名 ， 此 时 需要 在 w 命令 后 加 上 需要 保存 的 文件 
名 。 


退出 /关闭 


保存 好 内 容 后 就 可 退出 ， 只 需 在 命令 模式 下 键入 字符 q 。 如 果 对 文件 内 容 进 行 了 
编辑 ， 却 没有 保存 ， 那 么 Vim 会 提示 ， 如 果 不 想 保存 之 前 的 编辑 动作 ， 那 么 可 按 下 
字符 q 并 且 在 之 后 跟 上 一 个 感叹 号 | ， 这 样 会 强制 退出 ， 不 保存 最 近 的 内 容 变 


重 提 到 的 是 Vim 的 命令 模式 ， 它 是 Vim 扩展 各 种 新 功能 的 接口 ， 用 户 
启用 和 撤销 某 个 功能 ， 开 发 人 员 则 可 通过 它 为 用 户 提供 新 的 功能 。 下 面 
过 命令 模式 这 个 接口 定制 Vim 以 便 我 们 更 好 地 进行 源 代码 的 编辑 。 


这 里 需要 着 
a 


编码 风格 与 indent 命令 


先 提 一 下 编码 风格 。 刚 学 习 编 程 时 ， 代 码 写 得 很 “难看 ”( 不 方便 阅读 ， 不 方便 检 
错 ， 看 不 出 任何 逻辑 结构 ) ， 常 常 导致 心情 不 好 ， 而 且 排 错 也 很 困难 ， 所 以 逐渐 意 
识 到 代码 编写 需要 规范 ， 即 养 成 良好 的 编码 风格 ， 如 果 换 成 俗话 ， 那 就 是 代码 的 排 
版 ， 让 代码 好 看 一 些 。 虽 说 “编程 的 “(高 雅 一 些 则 称 开发 人 员 ) 不 一 定 懂 艺 术 ， 不 
过 这 个 应 该 不 是 “ 摘 艺 术 的 ”( 高 雅 一 些 应 该 是 文艺 工作 人 员 ) 的 特权 ， 而 是 我 们 应 
该 具备 的 专业 素养 。 在 Linux 下 ， 比 较 流 行 的 “行业 ?风格 有 KR 的 编码 风格 、GNU 
的 编码 风格 、Linux 内 核 的 编码 风格 (基于 KR 的 ， 缩 进 是 8 个 空格 ) 等 ， 它 们 都 
可 以 通过 indent 命令 格式 化 ， 对 应 的 选项 分 别 是 -kr ， -gnu ， -kr - 

i8 。 下 面 演示 用 indent 命令 把 代码 格式 化 成 上 面 的 三 种 风格 。 


TEE AR AR OY Yi SA A ILA RR” o KEIR: 


$ cat > test.c 
/* test.c -- a test program for using indent */ 
#include<stdio.h> 


int main(int argc, char *argv[]) 
{ 

int i=0; 

if (i != 0) {i++; } 

else {i--; }; 
for(i=0;i<5;i++)j++; 
printf("i=%d, j=%d\n",1i,j); 


return 0, 


} 


格式 化 成 KR 风格 ， 好 看 多 了 : 


$ indent -kr test.c 

$ cat test.c 

/* test.c -- a test program for using indent */ 
#include<stdio.h> 


int main(int argc, char *argv[]) 
{ 

int i = 0; 

if (i != 0) { 

i++; 

} else { 

1--; 
}; 
for (i = 0; i < 5; i++) 

j++; 
printf("i=%d,j=%d\n", i, j); 
return 0; 


采用 GNU 风格 ， 感 觉 不 如 KR 的 风格 ， 处 理 if 语句 时 增加 了 代码 行 ， 却 并 没 
明显 改进 效果 : 


$ indent -gnu test.c 

$ cat test.c 

/* test.c -- a test program for using indent */ 
#include<stdio.h> 


int 
main (int argc, char *argv[]) 
{ 
int i = 0; 
if (i != 0) 
{ 
i++; 
} 
else 
{ 
IE 
J; 
for (i = 0; i < 5; i++) 
j++; 
printf ("i=%d,j=%d\n", i, j); 
return 0; 
} 


实际 上 indent 命令 有 时 候 会 不 靠 谱 ， 也 不 建议 " 先 污染 再 治理 ”， 而 是 从 一 开始 
就 坚持 "可 持续 发 展 "的 观念 ， 在 写 代码 时 就 逐步 养 成 良好 的 风格 。 


需要 提 到 地 是 ，Linux 的 编码 风格 描述 文件 为 内 核 源码 下 的 
Documentation/CodingStyle， 而 相应 命令 为 Scripts/Lindent ° 


用 Vim 命令 养 成 良好 编码 风格 


从 演示 中 可 看 出 编码 风格 丫 地 很 重要 ， 但 是 如 何 养 成 良好 的 编码 风格 呢 ? BRA 

习 ， 遵 守 某 个 编码 风格 ， 一 如 既往 。 不 过 这 还 不 够 ， 如 果 没 有 一 个 好 编辑 器 ， 习 惯 
也 很 难 养 成 。 而 Vim 提供 了 很 多 辅助 我 们 养 成 良好 编码 习惯 的 功能 ， 这 些 都 通过 它 
的 命令 模式 提供 。 现 在 分 开 介 绍 几 个 功能 ; 


Vim 命令 功效 
:syntax on 语法 加 “ 靓 ”( 亮 ) 
:syntax off 语法 不 加 “ 靓 ”( 亮 ) 
:set cindent C 语言 自动 缩 进 (可 简写 为 set cin ) 
:set sw=8 自动 缩 进 宽度 (需要 set cin 才 有 用 ) 
:set ts=8 设 定 TAB 宽度 
:set number 显示 行 号 
:set nonumber 不 显示 行 号 
:setsm 括号 自动 匹配 


这 几 个 命令 对 代码 编写 来 说 非常 有 用 ， 可 以 考虑 把 它们 全 部 写 到 ~/.vimrc 文件 
(Vim 启动 时 会 去 加 载 这 个 文件 里 头 的 内 容 ) Po te: 


$ cat ~/.vimrc 
:Set number 
:set sw=8 

:set ts=8 

:Set sm 

:Set cin 
:syntax on 


相关 小 技巧 
需要 补充 的 几 个 技巧 有 ; 


o 对 注释 自动 断 行 
o 在 编辑 模式 下 ， 可 通过 gqap 命令 对 注释 自动 断 行 (每 行 字符 个 数 可 通 
过 命令 模式 下 的 ”set textwidth= 个 数 设 定 ) 


o 跳 到 指定 行 
aia 直接 跳 到 指定 行 ， 也 可 在 打开 文件 时 用 vim + 数 
文件 名 实现 相同 的 功能 。 


4y 


e 把 C 语言 输出 为 html 
o 命令 模式 下 的 TOhtml 命令 可 把 C 语言 输出 为 html 文件 ， 结 合 syntax 


on ， 可 产生 比较 好 的 网 页 把 代码 发 布 出 去 。 


注释 掉 代 码 块 
o 先 切换 到 可 视 模 式 〈 编 辑 模式 下 按 字母 v 可 切换 过 来 ) ， 用 光标 选中 一 
片 代码 ， 然 后 通过 命令 模式 下 的 命令 s#A#/V#g 把 某 这 片 代 码 注 释 掉 ， 
这 非常 方便 调试 某 一 片 代 码 的 功能 。 


切换 到 粘贴 模式 解决 Insert 模式 自动 缩 进 的 问题 
o 命令 模式 下 的 set paste 可 解决 复制 本 来 已 有 缩 进 的 代码 的 自动 缩 进 
问题 ， 后 可 执行 set nopaste 恢复 自动 缩 进 。 


使 用 Vim 最 新 特性 
o 为 了 使 用 最 新 的 Vim 特性 ， 可 用 set nocp 取消 与 老 版 本 的 Vi 的 兼 


全 局 替换 某 个 变量 名 
o 如 发 现 变量 命名 不 好 ， 想 在 整个 代码 中 修改 ， 可 在 命令 模式 下 用 
%s#old_variable#new_variable#g 全 局 替换 。 替 换 的 时 注意 变量 名 是 
其 他 变量 一 部 分 的 情况 。 如 果 硕 望 将 变量 "abc" 全 部 替换 成 "xyZ" 又 不 希望 
把 "abcd" 错 误 替 换 成 "Xyzd", 则 可 以 在 查找 时 指定 边界 : %s#\ 


<old_variable\>#new_variable#g ° 


把 缩 进 和 TAB 键 都 替换 为 空格 
o 可 考虑 设置 expandtab > BP set et ， 如 果 要 把 以 前 编写 的 代码 中 的 
缩 进 和 TAB 键 都 替换 掉 ， 可 以 用 retab ° 


关键 字 自 动 补 全 
o 输入 一 部 分 字符 后 ， 按 下 CTRL+P 或 者 CTRL+N 即 可 。 比 如 先 输入 
prin ， 然 后 按 下 CTRL+P/N 就 可 以 补 全 了 。 


在 编辑 模式 下 查看 手册 
o 可 把 光标 定位 在 某 个 函数 ， 按 下 Shift+k 就 可 以 调 出 man ， 很 有 用 。 


o 在 命令 模式 下 输入 g/^$/d ， 前 面 g 命令 是 扩展 到 全 局 ， 中 间 是 匹配 
E> BH d 命令 是 执行 删除 动作 。 用 替换 也 可 以 实现 ， 键 入 
%s#ANn##g ， 意 思 是 把 所 有 以 换行 开头 的 行 全 部 替换 为 室 。 类 似 地 ， 如 
果 要 把 多 个 空 行 转换 为 一 个 可 以 输入 g/ANn$/d 或 者 %s#ANn$##g 。 


创建 与 使 用 代码 交叉 引用 


fe} 


人 


~ 


A 


a 


主意 利用 一 些 有 用 的 插件 ， 比 如 ctags , cscope 等 ， 可 以 提高 代码 阅 
读 、 分 析 的 效率 。 特 别 是 开放 的 软件 。 


e 回 到 原 位 置 
o 在 用 ctags 或 cscope 时 ， 当 找到 某 个 标记 后 ， 又 想 回 到 原 位 置 ， 可 
按 下 CTRL+T 


这 里 特别 提 到 
文件 中 通过 map 命令 预定 义 一 些 快捷 方式 ， 例 如 : 


if has("cscope") 


:map 
:map 
:map 
:map 
:map 
:map 


endif 


Si O (ee) ter (ea) a 


:CS 
:CS 
:CS 
:CS 
:CS 
:CS 


cscope 


o 


> 为 了 加 速 代 码 的 阅读 ， 还 可 以 类 似 上 面 在 


set csprg=/usr/bin/cscope 


set csto=0 


set cst 


set nocsverb 


" add any database in current directory 
if filereadable("cscope.out") 
cs add cscope.out 


"else add database pointed to by environment 


elseif $CSCOPE DB != "" 
cs add $CSCOPE_DB 


endif 


set csverb 


find 
find 
find 
find 
find 
find 


<C -R>=expand("<cword>")<CR><CR> 
<C -R>=expand("<cword>")<CR><CR> 
<C -R>=expand("<cword>")<CR><CR> 
<C -R>=expand("<cword>" )<CR><CR> 
<C -R>=expand("<cword>")<CR><CR> 
<C -R>=expand("<cword>")<CR><CR> 


~/.vimrc 


AA s,t,c,C,f 这 几 个 Vim 的 默认 快捷 键 用 得 不 太 多 ， 所 以 就 把 它们 给 作为 快 


捷 方 式 映 射 了 ， 如 果 已 经 习惯 它们 作为 其 他 的 快捷 方式 就 换 别 的 


注 上 面 很 多 技巧 中 用 到 了 正则 表达 式 ， 关 于 这 部 分 请 参考 : 正则 表达 
门 教程 。 


更 多 的 技巧 可 以 看 看 后 续 资 料 。 


ep 人 大 


字符 


B, o 


式 30 分 钟 入 


后 记 


实际 上 ， 在 源 代码 编写 时 还 有 很 多 需要 培养 的 “素质 *， 例如 源 文件 的 开头 注释 、 郊 
数 的 注释 ， 变 量 的 命名 等 。 这 方面 建议 看 看 参考 资料 里 的 编程 修养 、 内 核 编码 风 
格 、 网 络 上 流传 的 《华为 编程 规范 》， 以 及 《C Traps & Pitfalls) , «C-FAQ) # ° 


e Vim 官方 教程 ， 在 命令 行 下 键入 vimtutor PPT 
e vim 实用 技术 序列 
o 实用 技巧 
O 常用 插件 
o 定制 Vim 
Graphical vi-vim Cheat Sheet and Tutorial 
e Documentation/CodingStyle 


scripts/Lindent 。 

e 正则 表达 式 30 分 钟 入 门 教程 

o 也 谈 C 语言 编程 风格 : 完成 从 程序 员 到 工程 师 的 晓 变 
e Vim 高 级 命令 集锦 

e 编程 修养 

e C Traps & Pitfalls 

e C FAQ 


Gcc 编译 的 背后 


Gece 编译 的 背后 


e 预 处 理 
o 打印 出 预 处 理 之 后 的 结果 
o 在 命令 行 定义 宏 
o 编译 (翻译 ) 
o 简 述 
o 语法 检查 
o 编译 器 优化 
o 生成 汇编 语言 文件 


o 生成 目标 代码 
o ELF 文件 初次 接触 
o ELF 文件 的 结构 
o 三 种 不 同类 型 ELF 文件 比较 
o ELF 主体 : 节 区 
o 汇编 语言 文件 中 的 节 区 表述 
o 可 执行 文件 的 段 : 节 区 重 排 
o 链接 背后 的 故事 
o 用 ld 完成 链接 过 程 
o C++ 构造 与 析 构 : crtbegin.o 和 crtend.o 
o 初始 化 与 退出 清理 : crti.o 和 crtn.o 
o C 语言 程序 丨 正 的 入 口 
o 链接 脚本 初次 接触 
© 参考 资料 
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平时 在 Linux 下 写 代 码 ， 直 接 用 gcc -o out in.c 就 把 代码 编译 好 了 ， 但 是 这 
背后 到 底 做 了 什么 呢 ? 


如 果 学 习 过 《编译 原理 》 则 不 难 理解 ， 一 般 高 级 语言 程序 编译 的 过 程 英 过 于 : 预 处 
理 、 编 译 、 汇 编 、 链 接 。 


gcc 在 后 台 实 际 上 也 经 历 了 这 几 个 过 程 ， 可 以 通过 -v 参数 查看 它 的 编译 细 
节 ， 如 果 想 看 某 个 具体 的 编译 过 程 ， 则 可 以 分 别 使 用 -E ， -S> -c 和 -0 ， 
对 应 的 后 台 工 具 则 分 别 为 cpp ， cc1 ? as ， ld œ 

下 面 将 逐步 分 析 这 几 个 过 程 以 及 相关 的 内 容 ， 诸 如 语法 检查 、 代 码 调试 、 汇 编 语言 


AE 


=F ° 
预 处 理 


简 述 


预 处 理 是 C 语言 程序 从 源 代 码 变 成 可 执行 程序 的 第 一 步 ， 主 要 是 C 语言 编译 器 对 
各 种 预 处 理 命令 进行 处 理 ， 包 括 头 文件 的 包含 、 宏 定义 的 扩展 、 条 件 编译 的 选择 


AE 


=F ° 


以 前 没 怎么 “深入 " 预 处 理 ， 脑 子 对 这 些 东 西 总 是 很 模糊 ， 只 记得 在 编译 的 基本 过 程 
(词法 分 析 、 语 法 分 析 ) 之 前 还 需要 对 源 代 码 中 的 宏 定 义 、 文 件 包含 、 条 件 编 译 等 
命令 进行 处 理 。 这 三 类 的 指令 很 常见 ， 主 要 有 #define > #include 和 
#ifdef ... #endif ， 要 特别 地 注意 它们 的 用 法 。 


#define 除了 可 以 独立 使 用 以 便 灵 活 设 置 一 些 参数 外 ， 还 常常 和 #ifdef ... 
#endif 结合 使 用 ， 以 便 灵 活 地 控制 代码 块 的 编译 与 否 ， 也 可 以 用 来 避免 同一 个 头 
文件 的 多 次 包含 。 关 于 #include 和 貌似 比较 简单 ， 通 过 man 找到 某 个 函数 的 头 
文件 ， 复 制 进去 ， 加 上 <> 就 好 。 这 里 虽然 只 关心 一 些 技巧 ， 不 过 预 处 理 还 是 隐 
藏 着 很 多 潜在 的 陷阱 (可 参考 《C Traps & Pitfalls) ) 也 是 需要 注意 的 。 下 面 仅 介 
绍 和 预 处理 相 关 的 几 个 简单 内 容 。 


打印 出 预 处 理 之 后 的 结果 


$ gcc -E hello.c 


这 样 就 可 以 看 到 源 代码 中 的 各 种 预 处 理 命令 是 如 何 被 解释 的 ， 从 而 方便 理解 和 查 
错 。 


实际 上 gcc 在 这 里 调用 了 cpp (虽然 通过 gee -v 仅 看 到 cc1 )， cpp FP 
The C Preprocessor， 主 要 用 来 预 处 理 宏 定义 、 文 件 包 含 、 条 件 编译 等 。 下 面 介绍 
它 的 一 个 比较 重要 的 选项 -D © 


$ gcc -Dmacro hello.c 


这 个 等 同 于 在 文件 的 开头 定义 宏 ， 即 #define macro ， 但 是 在 命令 行 定义 更 灵 
活 。 例 如 ， 在 源 代码 中 有 这 些 语句。 


#ifdef DEBUG 
printf("this code is for debugging\n"); 
#endif 


如 果 编 译 时 加 上 -DDEBUG 选项 ， 那 么 编译 器 就 会 把 printf 所 在 的 行 编译 进 

标 代 码 ， 从 而 方便 地 跟踪 该 位 置 的 某 些 程序 状态 。 这 样 -DDEBUG wnat 
调试 开关 ， 编 译 时 加 上 它 就 可 以 用 来 打印 调试 信息 ， 发 布 时 则 可 以 通过 去 掉 该 编译 
选项 把 调试 信息 去 掉 。 


编译 ( 翻译) 


编译 之 前 ，C 语言 编译 器 会 进行 词法 分 析 、 语 法 分 析 ， 接 着 会 把 源 代码 翻译 成 中 间 
语言 ， 即 汇编 语言 。 如 果 想 看 到 这 个 中 间 结 果 ， 可 以 用 gcc -S 。 需 要 提 到 的 
是 ， 诸 如 Shell 言 也 会 经 历 一 个 词法 分 析 和 语法 分 析 的 阶段 ， 不 过 之 后 并 
不 会 进行 “翻译 "， 而 是 “解释 "， 边 解释 边 执行 。 


E á ee ds > 之 后 的 阶段 
和 汇编 语言 的 开发 过 程 没有 什么 这 个 阶段 涉及 到 对 源 代 码 的 词法 分 析 、 语 法 
检查 (通过 -std 指 ， 并 根据 优化 ( -0 ) 要 求 进 行 翻译 成 汇 


编 语 2 言 的 动作 。 


语法 检查 


如 果 仅 仅 希 望 进行 语法 检查 ， 可 以 用 gee 的 -fsyntax-only 选项 ; 如 果 为 了 
使 代码 有 比较 好 的 可 移植 性 ， 避 免 使 用 gcc 的 一 些 扩 展 特性 ， 可 以 结合 -std 
和 -pedantic (或 者 -pedantic-erros ) 选项 让 源 代码 遵循 某 个 C 语言 标准 
的 语法 。 这 里 演示 一 个 简单 的 例子 : 


$ cat hello.c 
#include <stdio.h> 
int main() 
{ 
printf("hello, world\n") 
return 0, 
} 
$ gcc -fsyntax-only hello.c 
hello.c: In function ‘main’: 
hello.c:5: error: expected ‘;’ before ‘return’ 
$ vim hello.c 
$ cat hello.c 
#include <stdio.h> 
int main() 


{ 
printf("hello, world\n"); 
WAE e 
return 0; 

} 


$ gcc -std=c89 -pedantic-errors hello.c # 默 认 情 况 下 ，gcc 是 允许 在 
程序 中 间 声 明 变量 的 ， 但 是 turboc 就 不 支持 

hello.c: In function ‘main’: 

hello.c:5: error: ISO C90 forbids mixed declarations and code 


语法 错误 是 程序 开发 过 程 中 难以 避免 的 错误 (人 的 大 脑 在 很 多 情况 下 都 容易 开 小 
差 ) ， 不 过 编译 器 往往 能 够 通过 语法 检查 快速 发 现 这 些 错误 ， 并 准确 地 告知 语法 错 
误 的 大 概 位 置 。 因 此 ， 作 为 开发 人 员 ， 要 做 的 事情 不 是 “恐慌 ”( 不 知 所 措 ) ， 而 是 


Vk RMI RATER > IRE PNR RNA (RIF RA-D RMA RG] ? 
很 多 资料 都 提供 了 常见 语法 错误 列表 ， 如 《C Traps & Pitfalls》 和 编辑 器 提供 的 语 
法 检查 功能 《语法 加 亮 、 括 号 匹配 提示 等 ) 快速 定位 语法 出 错 的 位 置 并 进行 修改 。 


Za TE FS ARAE 


Poe RE MEAT Ea 提供 了 一 个 优化 选项 -0 ， 以 便 根 据 不 同 的 运 
行 平台 和 用 户 要 求 产生 经 过 优化 的 汇编 代码 。 例 如 ， 


$ gcc -o hello hello.c # 采用 默认 选项 ， 不 优化 

$ gcc -02 -o hello2 hello.c # 优化 等 次 是 2 

$ gcc -0s -o hellos hello.c # 优化 目标 代码 的 大 小 

$ ls -S hello hello2 hellos # 可 以 看 到 ，hellos 4x), hello2 k 
较 大 

hello2 hello hellos 

$ time ./hello 

hello, world 


real OmO0.001s 

user OmO0.000s 

sys OmO0.000s 

$ time ./hello2 # 可 能 是 代码 比较 少 的 缘故 ， 执 行 效率 看 上 去 不 是 很 明显 
hello, world 


real OmO.001s 
user Om0.000s 
sys OMO. 000S 


$ time ./hellos # 虽然 目标 代码 小 了 ， 但 是 执行 效率 慢 了 些 
hello, world 


real OmO .002s 
user Om0.000s 
sys OmO. 000s 


根据 上 面 的 简单 演示 ， 可 以 看 出 gcc 有 很 多 不 同 的 优化 选项 ， 主 要 看 用 户 的 需求 
了 ， 目 标 代码 的 大 小 和 效率 之 间 和 貌似 存 在 一 个 “纠缠 "”， 需 要 开发 人 员 自 己 权衡 。 


生成 汇编 语言 文件 


下 面 通过 -s 选项 来 看 看 编译 出 来 的 中 间 结 果 : 汇编 语言 ， 还 是 以 之 前 那个 
hello.c 为 例 。 


$ gcc -S hello.c # 默认 输出 是 hello.s， 可 自己 指定 ， 输 出 到 屏幕 -0 -`> 
输出 到 其 他 文件 ` -0 File’ 
$ cat hello.s 
cat hello.s 
. file "hello.c" 


. section .rodata 
.LCO: 

.String "hello, world" 

.text 
.globl main 

. type main, @function 
main: 


leal 4(%esp), %ecx 

andl $-16, %esp 

pushl -4(%ecx) 

pushl %ebp 

movl %esp, %ebp 

pushl %ecx 

subl $4, %esp 

movl $.LCO, (%esp) 

call puts 

movl $0, %eax 

addl $4, %esp 

popl %ECX 

popl %ebp 

leal -4(%ecx), %esp 

ret 

.Size main, .-main 

.ident "GCC: (GNU) 4.1.3 20070929 (prerelease) (Ubuntu 
4.1.2-16ubuntu2)" 

. section .note.GNU-stack,"",@progbits 


不 知道 看 出 来 没 ? 和 课堂 里 学 的 inte| 的 汇编 语法 不 太一 样 ， 这 里 用 的 是 AT&T 语 
法 格式 。 如 果 想 学 习 Linux 下 的 汇编 语言 开发 ， 下 一 节 开 始 的 所 有 章节 基本 上 和 履 盖 
了 Linux 下 汇编 语言 开发 的 一 般 过 程 ， 不 过 这 里 不 介绍 汇编 语言 语法 。 


在 学 习 后 面 的 章节 之 前 ， 建 议 自学 旧金山 大 学 的 微机 编程 课程 CS 630， 该 课 深入 
介绍 了 Linux/X86 平台 下 的 AT&T 汇编 语言 开发 。 如 果 想 在 Qemu 上 做 这 个 课 
程 里 的 实验 ， 可 以 阅读 本 文 作 者 写 的 CS630: Linux 下 通过 Qemu 学 习 X86 AT&T 
汇编 语言 。 

需要 补充 的 是 ， 在 写 C 语言 代码 时 ， 如 果 能 够 对 编译 器 比较 熟悉 (工作 原理 和 一 些 
细节 ) 的 话 ， 可 能 会 很 有 帮助 。 包 括 这 里 的 优化 选项 (有 些 优化 选项 可 能 在 汇编 时 
KA) 和 可 能 的 优化 措施 ， 例 如 字 节 对 齐 、 条 件 分 支 语 名 裁减 〈 删 除 一 些 明 显 分 
支 ) 等 。 


汇编 


简 述 


汇编 实际 上 还 是 翻译 过 程 ， 只 不 过 把 作为 中 间 结 果 的 汇编 代码 翻译 成 了 机 器 代码 ， 
即 目标 代码 ， 不 过 它 还 不 可 以 运行 。 如 果 要 产生 这 一 中 间 结 果 ， 可 用 gee -c ， 
当然 ， 也 可 通过 as 命令 处 理 汇编 语言 源 文件 来 产生 。 


汇编 是 把 汇编 语言 翻译 成 目标 代码 的 过 程 ， 如 果 有 在 Windows 下 学 习 过 汇编 语言 
开发 ， 大 家 应 该 比较 熟悉 nasm 汇编 工具 (支持 Intel 格式 的 汇编 语言 )， 不 过 这 里 
主要 用 as 汇编 工具 来 汇编 AT&T 格式 的 汇编 语言 ， 因 为 gcc 产生 的 中 间 代 
码 就 是 AT&T 格式 的 。 


生成 目标 代码 


下 面 来 演示 分 别 通过 gcc -c 选项 和 as 来 产生 目标 代码 。 


$ file hello.s 
hello.s: ASCII assembler program text 
$ gcc -c hello.s  # 用 gcc 把 汇编 语言 编译 成 目标 代码 
$ file hello.o #file 命 令 用 来 查看 文件 类 型 ， 目 标 代码 可 重 定位 的 (reloca 
table)? 

# 需 要 通过 1d 进 行进 一 步 链接 成 可 执行 程序 (executab1le) 和 
共享 库 (shared) 
hello.o: ELF 32-bit LSB relocatable, Intel 80386, version 1 (SYS 
V), not stripped 
$ as -o hello.o hello.s # 用 as 把 汇编 语言 编译 成 目标 代码 
$ file hello.o 
hello.o: ELF 32-bit LSB relocatable, Intel 80386, version 1 (SYS 
V), not stripped 


gcc 和 as 默认 产生 的 目标 代码 都 是 ELF 格式 的 ， 因 此 这 里 主要 讨论 ELF 格 式 
的 目标 代码 (如果 有 时 间 再 回顾 一 下 a.out 和 coff 格式 ， 当 然 也 可 以 先 了 解 
一 下 ， 并 结合 objcopy 来 转换 它们 ， 比 较 异 同 )。 


ELF 文件 初次 接触 


目标 代码 不 再 是 普通 的 文本 格式 ， 无 法 直接 通过 文本 编辑 器 浏览 ， 需 些 专门 的 
工具 。 如 果 想 了 解 更 多 目标 代码 的 细节 ， 区 分 relocatable (TEZ 

位 ) ` executable (可 执行 ) ` shared libarary (共享 库 ) 的 不 同 ， 
Ne 法 了 解 目标 代码 的 组 织 方 式 和 相关 的 阅读 和 分 析 工 具 。 下 面 主要 介绍 这 部 分 内 


BFD is a package which allows applications to use the same routines to 
operate on object files whatever the object file format. A new object file format 
can be supported simply by creating a new BFD back end and adding it to the 
library. 


binutils (GNU Binary Utilities) 的 很 多 工具 都 采用 这 个 库 来 操作 目标 文件 ， 这 类 工 
具有 objdump ， 5 > nm ， strip 等 (当然 ， 我 们 也 可 以 利用 它 。 如 
crue ， 那么 通过 它 来 分 析 和 编写 Virus 程序 将 会 更 加 方便 ) ， 不 过 

另外 一 款 非 常 优 秀 的 分 析 工 具 readelf 并 不 是 基于 这 个 库 ， 所 以 也 应 该 可 以 直接 
用 elf.h dg 告 构 来 操作 ELF 文件 。 


下 面 将 通过 这 些 辅助 工具 (主要 是 readelf 和 objdump ) ， 结 合 ELF 手册 来 
分 析 它 们 。 将 依次 介绍 ELF 文件 的 结构 和 三 种 不 同类 型 ELF 文件 的 区 别 。 


ELF 文件 的 结构 


ELF Header(ELF 文 件 头 ) 

Program Headers Table( 程 序 头 表 ， 实 际 上 叫 段 表 好 一 些 ， 用 于 描述 可 执行 文件 和 
可 共享 库 ) 

Section 1 

Section 2 

Section 3 


Section Headers Table( 节 区 头 部 表 ， 用 于 链接 可 重 定位 文件 成 可 执行 文件 或 共享 
库 ) 


对 于 可 重 定位 文件 ， 程 序 关 是 可 选 的 ， 而 对 于 可 执行 文件 和 共享 库 文件 (动态 链接 
È) ， 节 区 表 则 是 可 选 的 。 可 以 分 别 通过 readelf 文件 的 -nh， -1 和 -S 
参数 查看 ELF 文件 头 (ELF Header) 、 程 序 头 部 表 (Program Headers Table， 段 
表 ) 和 节 区 表 (Section Headers Table) 。 


文件 头 说 明了 文件 的 类 型 ， 大 小 ， 运 行 平台 ， 节 区 数目 等 。 
三 种 不 同类 型 ELF 文件 比较 
先 来 通过 文件 头 看 看 不 同 ELF 的 类 型 。 为 了 说 明 问题 ， 先 来 几 段 代码 吧 。 


/* myprintf.c */ 
#include <stdio.h> 


void myprintf (void) 


{ 
printf("hello, world!\n"); 


/* test.h -- myprintf function declaration */ 


#ifndef _TEST_H_ 
#define _TEST_H_ 


void myprintf(void); 


#endif 


me S tena s/4 
#include "test.h" 


int main() 


{ 
myprintf(); 
return 0; 


下 面 通过 这 几 段 代码 来 演示 通过 readelf -h 参数 查看 ELF 的 不 同类 型 。 期 间 将 
演示 如 何 创 建 动态 链接 库 ( 即 可 共享 文件 ) > PARE > HR CIN FE © 
编译 产生 两 个 目标 文件 myprintf.0 和 test.o ， 它 们 都 是 可 重 定位 文件 
(REL) 


$ gcc -c myprintf.c test.c 
$ readelf -h test.o | grep Type 


Type: REL (Relocatable file) 
$ readelf -h myprintf.o | grep Type 
Type: REL (Relocatable file) 


根据 目标 代码 链接 产生 可 执行 文件 ， 这 里 的 文件 类 型 是 可 执行 的 (EXEC) : 


$ gcc -o test myprintf.o test.o 
$ readelf -h test | grep Type 
Type: EXEC (Executable file) 


用 ar 命令 创建 一 个 静态 链接 库 ， 静 态 链接 库 也 是 可 重 定位 文件 (REL) 


$ ar rcsv libmyprintf.a myprintf.o 
$ readelf -h libmyprintf.a | grep Type 
Type: REL (Relocatable file) 


可 见 ， 静 态 链接 库 和 可 重 定位 文件 类 型 一 样 ， 它 们 之 间 唯 一 不 同 是 前 者 可 以 是 多 个 
可 重 定位 文件 的 “集合 ”。 


静态 链接 库 可 直接 链接 (只 需 库 名 ， 不 要 前 面 的 1ib ) ， 也 可 用 -1 参数 ，- 
L 指定 库 搜索 路 径 。 


$ gcc -o test test.o -lmyprintf -L./ 


编译 产生 动态 链接 库 ， 并 支持 major 和 minor 版 本 号 ， 动 态 链接 库 类 型 为 
DYN 


$ gcc -Wall myprintf.o -shared -W1,-soname, libmyprintf.so.0 -o 1 
ibmyprintf.so.0.0 
$ ln -sf libmyprintf.so.0.0 libmyprintf.so.0 
$ ln -sf libmyprintf.so.0 libmyprintf.so 
$ readelf -h libmyprintf.so | grep Type 
Type: DYN (Shared object file) 


动态 链接 库 编 译 时 和 静态 链接 库 类 似 : 


$ gcc -o test test.o -lmyprintf -L./ 


但 是 执行 时 需要 指定 动态 链接 库 的 搜索 路 径 ， 把 LD_LIBRARY_PATH 设 为 当前 目 
Rede test 运行 时 的 动态 链接 库 搜 索 路 径 : 


$ LD_LIBRARY_PATH=./ ./test 
$ gcc -static -o test test.o -lmyprintf -L./ 


在 不 指定 -static 时 会 优先 使 用 动态 链接 库 ， 指 定时 则 阻止 使 用 动态 链接 库 ， 这 
时 会 把 所 有 静态 链接 库 文 件 加 入 到 可 执行 文件 中 ， 使 得 执行 文件 很 大 ， 而 且 加 载 到 
内 存 以 后 会 浪费 内 存 空间 ， 因 此 不 建议 这 么 做 。 


经 过 上 面 的 演示 基本 可 以 看 出 它们 之 间 的 不 同 : 


© 可 重 定位 文件 本 身 不 可 以 运行 ， 仅 仅 是 作为 可 执行 文件 、 静 态 链接 库 (也 是 可 
重 定位 文件 ) 、 动 态 链接 库 的 “组 件 ”。 

e 静态 链接 库 和 动态 链接 库 本 身 也 不 可 以 执行 ， 作 为 可 执行 文件 的 “组 件 ”， 它 们 
两 者 也 不 同 ， 前 者 也 是 可 重 定位 文件 (只 不 过 可 能 是 多 个 可 重 定位 文件 的 集 
合 ) ， 并 且 在 链接 时 加 入 到 可 执行 文件 中 去 。 

o 而 动态 链接 库 在 链接 时 ， 库 文件 本 身 并 没有 添加 到 可 执行 文件 中 ， 只 是 在 可 执 
行文 件 中 加 入 了 该 库 的 名 字 等 信息 ， 以 便 在 可 执行 文件 运行 过 程 中 引用 库 中 的 
函数 时 由 动态 链接 器 去 查找 相关 函数 的 地 址 ， 并 调用 它们 。 


从 这 个 意义 上 说 ， 动 态 链接 库 本 身 也 具有 可 重 定位 的 特征 ， 含 有 可 重 定位 的 信息 。 
对 于 什么 是 重 定位 ? 如 何 进行 静态 符号 和 动态 符号 的 重 定位 ， 我 们 将 在 链接 部 分 和 
《动态 符号 链接 的 细节 》 一 节 介 绍 。 


ELF 主体 : F 


下 面 来 看 看 ELF 文件 的 主体 内 容 : 节 区 (Section) ° 


ELF 文件 具有 很 大 的 灵活 性 ， 它 通过 文件 头 组 织 整个 文件 的 总 体 结 构 ， 通 过 节 ie 
(Section Headers Table) 和 程序 头 (Program Headers Table 或 者 叫 段 表 ) 来 分 别 
描述 可 重 定位 文件 和 可 执行 文件 。 但 不 管 管 是 哪 种 类 型 ， 它 们 都 需要 它们 的 主体 ， g 
各 种 节 区 。 


在 可 重 定位 文件 中 ， 节 区 表 描 述 的 就 是 各 种 节 区 本 身 ; 而 在 可 执行 文件 中 ， 程 序 头 
Wa a (Segment) ， 以 便 程序 运行 时 动态 装载 器 知道 如 何 
对 它们 进行 内 存 映 像 ， 从 而 方便 程序 加 载 和 运行 。 


下 面 先 来 看 看 一 些 常见 的 节 区 ， 而 关于 这 些 节 区 (Section) 如 何 通 过 重 定位 构成 不 
同 的 段 (Segments) ， 以 及 有 哪些 常规 的 段 ， 我 们 将 在 链接 部 分 进一步 介绍 

可 以 通过 readelf -S 查看 ELF 的 节 区 。 (建议 一 边 操 作 一 边 看 文档 ， 以 便 加 深 
对 ELF 文件 结构 的 理解 ) 先 来 看 看 可 重 定位 文件 的 节 区 信息 ， 通 过 节 区 表 来 查看 : 


默认 编译 好 myprintf.c ， 将 产生 一 个 可 重 定位 的 文件 myprintf.o ， 这 里 通过 
myprintf.o 的 节 区 表 查 看 节 区 信息 。 


$ gcc -c myprintf.c 
$ readelf -S myprintf.o 
There are 11 section headers, 


Section Headers: 


starting at offset OxcO: 


[Nr] Name Type Addr off Size 
ES Flg Lk Inf Al 

[ 0] NULL 00000000 000000 000000 
00 0 0 0 

[ 1] .text PROGBITS 00000000 000034 000018 
00 AX 0 0 4 

[ 2] .rel.text REL 00000000 000334 000010 
08 9 1 4 

[ 3] .data PROGBITS 00000000 00004c 000000 
00 WA 0 0 4 

[ 4] .bss NOBITS 00000000 00004c 000000 
00 WA 0 © 4 

[ 5] .rodata PROGBITS 00000000 00004c 00000e 
00 A 0 0 1 

[ 6] .comment PROGBITS 00000000 00005a 000012 
00 0 © 1 

[ 7] .note.GNU-stack PROGBITS 00000000 00006c 000000 
00 0 © 1 

[ 8] .shstrtab STRTAB 00000000 00006c 000051 
00 0 © 1 

[ 9] .symtab SYMTAB 00000000 000278 0000a0 
10 10 8 4 

[10] .strtab STRTAB 00000000 000318 00001a 
00 0 0 1 


Key to Flags: 

W (write), A (alloc), X (execute), M (merge), S (strings) 

I (info), L (link order), G (group), x (unknown) 

0 (extra OS processing required) o (OS specific), p (processor 
specific) 


用 objdump -d 可 看 反 编 译 结果 ， 用 -j 选项 可 指定 需要 查看 的 节 区 : 


$ objdump -d -j .text myprintf.o 
myprintf.o: file format elf32-1386 


Disassembly of section .text: 


00000000 <myprintf>: 


0: 55 push %ebp 

1 89 e5 mov %esp,%ebp 

3 83 ec 08 sub $0x8,%esp 

6: 83 ec Oc sub $Oxc,%eSp 

9 68 00 00 00 00 push $0x0 

e: e8 fc ff ff ff call f <myprintf+0xf> 
ISE 83 c4 10 add $0x10, %esp 
16: c9 leave 
17: Cs ret 


用 -r 选项 可 以 看 到 有 关 重 定位 的 信息 ， 这 里 有 两 部 分 需要 重 定位 : 


$ readelf -r myprintf.o 


Relocation section '.rel.text' at offset 0x334 contains 2 entrie 


SE 

offset Info Type Sym.Value Sym. Name 
0000000a 00000501 R_386_32 00000000 .rodata 
0000000f 00000902 R_386_PC32 00000000 puts 


.rodata 节 区 包含 只 读数 据 ， 即 我 们 要 打印 的 hello, world! 
$ readelf -x .rodata myprintf.o 


Hex dump of section '.rodata': 
0x00000000 68656c6c 6f2c2077 6f726c64 2100 hello, world!. 


没有 找到 .data PR, 它 应 该 包含 一 些 初始 化 的 数据 : 


$ readelf -x .data myprintf.o 


Section '.data' has no data to dump. 


也 没有 bss 节 区 ， 它 应 该 包含 一 些 未 初始 化 的 数据 ， 程 序 默认 初始 为 0: 


$ readelf -x .bss myprintf.o 


Section '.bss' has no data to dump. 


comment 是 一 些 注释 ， 可 以 看 到 是 是 Gcc 的 版 本 信息 


$ readelf -x .comment myprintf.o 


Hex dump of section '.comment': 
0x00000000 00474343 3a202847 4e552920 342e312e .GCC: (GNU) 4.1 


0x00000010 3200 2 


-note.GNU-stack 这 个 节 区 也 没有 内 容 : 


$ readelf -x .note.GNU-stack myprintf.o 


Section '.note.GNU-stack' has no data to dump. 


.Shstrtab 包括 所 有 节 区 的 名 字 : 


$ readelf -x .shstrtab myprintf.o 


Hex dump of section '.shstrtab': 
0x00000000 002e7379 6d746162 002e7374 72746162 ..symtab..strta 


0x00000010 002e7368 73747274 6162002e 72656c2e ..shstrtab..rel 
0x00000020 74657874 002e6461 7461002e 62737300 text..data..bss 
Ox00000030 2e726f64 61746100 2e636f6d 6d656e74 .rodata..commen 
Ox00000040 002e6e6f 74652e47 4e552d73 7461636b ..note.GNU-stac 


0x00000050 00 


符号 表 ,symtab 包括 所 有 用 到 的 相关 符号 信息 ， 如 函数 名 、 变 量 名 ， 可 用 
readelf 查看 : 


$ readelf -symtab myprintf.o 


Symbol table '.symtab' contains 10 entries: 


Num: Value Size Type Bind Vis Ndx Name 
0: 00000000 © NOTYPE LOCAL DEFAULT UND 
1: 00000000 © FILE LOCAL DEFAULT ABS myprintf.c 
2: 00000000 0 SECTION LOCAL DEFAULT 1 
3: 00000000 0 SECTION LOCAL DEFAULT 3 
4: 00000000 0 SECTION LOCAL DEFAULT 4 
5: 00000000 0 SECTION LOCAL DEFAULT 5 
6: 00000000 0 SECTION LOCAL DEFAULT 7 
7: 00000000 0 SECTION LOCAL DEFAULT 6 
8: 00000000 24 FUNC GLOBAL DEFAULT 1 myprintf 
9: 00000000 © NOTYPE GLOBAL DEFAULT UND puts 


字符 串 表 .strtab 包含 用 到 的 字符 串 ， 包 括 文件 如、 函数 名 、 变 量 名 等 : 


$ readelf -x .strtab myprintf.o 


Hex dump of section '.strtab': 
Ox00000000 006d7970 72696e74 662e6300 6d797072 .myprintf.c.myp 
intf.puts. 


r 
0x00000010 696e7466 00707574 7300 


从 上 表 可 以 看 出 ， 对 于 可 重 定位 文件 ， 会 包含 这 些 基 本 节 区 text, 
,data , ,bss , .rodata , .comment , .note.GNU-stack , 


.rel.text , 
.symtab 和 .strtab ° 


.shstrtab , 


` 
一 一 一 


汇编 语言 


文件 中 的 节 区 表 壕 
办 这 些 节 区 和 源 代 码 的 关系 ， 这 里 来 看 一 看 myprintf.c 产生 的 汇 


为 了 进一步 理解 


编 代 码 。 


$ gcc -S myprintf.c 
$ cat myprintf.s 
. file "myprintf.c" 
. section .rodata 
.LCO: 
.String "hello, world!" 
.text 
.globl myprintf 
. type myprintf, @function 
myprintf: 
pushl %ebp 
movl %esp, %ebp 
subl $8, %esp 
subl $12, %esp 
pushl $.LCO 
call puts 
add1 $16, %esp 
leave 
ret 
.Size myprintf, .-myprintf 
„ident "GCC: (GNU) 4.1.2" 
. section .note.GNU-stack, "",@progbits 


是 不 是 可 以 从 中 看 出 可 重 定 位 文件 中 的 那些 节 区 和 汇编 语言 代码 之 间 的 关系 ?在 上 
面 的 可 重 定位 文件 ， 可 以 看 到 有 一 个 可 重 定 位 的 节 区 ， 即 ,rel,text ， 它 标记 了 
两 个 需要 重 定位 的 项 ， ,rodata 和 puts 。 这 个 节 区 将 告诉 编译 器 这 两 个 信息 
在 链接 或 者 动态 链接 的 过 程 中 需要 重 定位 ， 具体 如 何 重 定位 ? 将 根据 重 定位 项 的 类 
型 ， 比 如 上 面 的 R_386_32 和 R_386_PC32 。 


到 这 里 ， 对 可 重 定位 文件 应 该 有 了 一 个 基本 的 了 解 ， 下 面 将 介绍 什么 是 可 重 定位 ， 
可 重 定位 文件 到 底 是 如 何 被 链接 生成 可 执行 文件 和 动态 链接 库 的 ， 这 个 过 程 除了 进 
行 一 些 符号 的 重 定位 外 ， 还 进行 了 哪些 工作 呢 ? 


链 援 


简 述 


重 定位 是 将 符号 引用 与 符号 定义 进行 链接 的 过 程 。 因 此 链接 是 处 理 可 重 定位 文件 ， 
把 它们 的 各 种 符号 引用 和 符号 定义 转换 为 可 执行 文件 中 的 合适 信息 (一 般 是 虚拟 内 
存 地 址 ) 的 过 程 。 


链接 又 分 为 静态 链接 和 动态 链接 ， 前 者 是 程序 开发 阶段 程序 员 用 ld ( gcc 实际 
上 在 后 台 调 用 了 ld ) 静态 链接 器 手动 链接 的 过 程 ， 而 动态 链接 则 是 程序 运行 期 
间 系 统 调 用 动态 链接 器 ( 1d-1linux.so ) 自动 链接 的 过 程 。 


比如 ， 如 果 链 接 到 可 执行 文件 中 的 是 静态 链接 库 libmyprintf.a ， 那 么 

.rodata 节 区 在 链接 后 需要 被 重 定位 到 一 个 绝对 的 虚拟 内 存 地 址 ， 以 便 程 序 运 行 
时 能 够 正确 访问 该 节 区 中 的 字符 串 信 息 。 而 对 于 puts 函数 ， 因 为 它 是 动态 链接 
Æ libc.so 中 定义 的 函数 ， 所 以 会 在 程序 运行 时 通过 动态 符号 链接 找 出 puts 
ee ， 以 便 程 序 调用 该 济 数 。 在 这 里 主要 讨论 静态 链接 过 程 ， 动 态 
链接 过 程 见 《 动 态 符号 链接 的 细节 》 © 


静态 链接 过 程 主要 是 把 可 重 定位 文件 依次 读 入 ， 分 析 各 个 文件 的 文件 头 ， 进 而 依次 
读 入 各 个 文件 的 节 区 ， 并 计算 各 个 节 区 的 虚拟 内 存 位 置 ， 对 一 些 需要 重 定位 的 符号 
进行 处 理 ， 设 定 它们 的 虚拟 内 存 地 址 等 ， 并 最 终 产 生 一 个 可 执行 文件 或 者 是 动态 链 
接 库 。 这 个 链接 过 程 是 通过 ld 来 完成 的 ， ld 在 链接 时 使 用 了 一 个 链接 脚本 

( linker script ) ， 该 链接 脚本 处 理 链接 的 具体 细节 。 


由 于 静态 符号 链接 过 程 非常 复杂 ， 特 别 是 计算 符号 地 址 的 过 程 ， 考 虑 到 时 间 关 系 ， 
相关 细节 请 参考 ELF 手册 。 这 里 主要 介绍 可 重 定位 文件 中 的 节 区 ( 节 区 表 描 述 的 ) 
和 可 执行 文件 中 段 (程序 头 描 述 的 ) 的 对 应 关系 以 及 gcc 编译 时 采用 的 一 些 默 认 
链接 选项 。 


可 执行 文件 的 段 : 节 区 重 排 


下 面 先 来 看 看 可 执行 文件 的 节 区 信息 ， 通 过 程序 头 (RR) 来 查看 ， 为 了 比较 ， 先 
把 test.0 的 节 区 表 也 列 出 


$ readelf -S test.o 
There are 10 section headers, starting at offset Oxb4: 


Section Headers: 

[Nr] Name Type Addr Off Size 
ES Flg Lk Inf Al 

[ 0] NULL 00000000 000000 000000 


00 0 0 0 


[ 2] .text PROGBITS 00000000 000034 000024 
00 AX 0 © 4 

[ 2] .rel.text REL 00000000 0002ec 000008 
08 8 1 4 

[ 3] .data PROGBITS 00000000 000058 000000 
00 WA 0 0 4 

[ 4] .bss NOBITS 00000000 000058 000000 
00 WA 0 0 4 

[ 5] .comment PROGBITS 00000000 000058 000012 
00 0 O 1 

[ 6] .note.GNU-stack PROGBITS 00000000 00006a 000000 
00 0 oz 

[ 7] .shstrtab STRTAB 00000000 00006a 000049 
00 0 ogm 

[ 8] .symtab SYMTAB 00000000 000244 000090 
10 9 7 4 

[ 9] .strtab STRTAB 00000000 0002d4 000016 
00 0 O 1 


Key to Flags: 
w (write), A (alloc), X (execute), M (merge), S (strings) 
I (info), L (link order), G (group), x (unknown) 
O (extra OS processing required) o (OS specific), p (processor 
specific) 
$ gcc -o test test.o myprintf.o 
$ readelf -1 test 


Elf file type is EXEC (Executable file) 
Entry point 0x80482b0 


There are 7 program headers, starting at offset 52 


Program Headers: 


Type offset VirtAddr PhysAddr FileSiz MemSiz 
Flg Align 

PHDR 0x000034 0x08048034 0x08048034 Ox000e0 Ox000e0 
R E 0x4 

INTERP 0x000114 0x08048114 0x08048114 0x00013 0x00013 
R 0x1 


[Requesting program interpreter: /lib/ld-linux.so.2] 
LOAD 0x000000 0x08048000 0x08048000 Ox0047c Ox0047c 


R E 0x1000 


LOAD 0x00047c 0x0804947c 0x0804947c 0X00104 0x00108 
RW 0x1000 

DYNAMIC 0x000490 0x08049490 0x08049490 Ox000c8 0x000c8 
RW 0x4 

NOTE 0x000128 0x08048128 0x08048128 Ox00020 0x00020 
R 0x4 

GNU_STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 
RW 0x4 


Section to Segment mapping: 
Segment Sections... 


00 
01 .interp 
02 .interp .note.ABI-tag .hash .dynsym .dynstr .gnu.versi 


on .gnu.version_r 
.rel.dyn .rel.plt .init .plt .text .fini .rodata .eh_f 


rame 
03 .ctors .dtors .jcr .dynamic .got .got.plt .data .bss 
04 . dynamic 
05 .note.ABI-tag 
06 


可 发 现 ， test 和 test.o > myprintf.o 相 比 ， 多 了 很 多 节 区 ， 如 
.interp 和 „init 等 。 另 外 ， 上 表 也 给 出 了 可 执行 文件 的 如 下 几 个 段 
(Segment) 


© PHDR : 给 出 了 程序 表 自 身 的 大 小 和 位 置 ， 不 能 出 现 一 次 以 上 。 

e INTERP : 因为 程序 中 调用 了 puts (在 动态 链接 库 中 定义 ) ， 使 用 了 动态 链 

接 库 ， 因此 需 要 动态 装载 器 /链接 器 ( 1d-linux.so ) 
LOAD : 包括 程序 的 指令 ， .text 等 节 区 都 映射 在 该 段 ， 只 读 (R) 
LOAD : 包括 程序 的 数据 ， .data ，.bss 等 节 区 都 映射 在 该 段 ， 可 读 写 
(RW) 

e DYNAMIC : 动态 链接 相关 的 信息 ， 比 如 包含 有 引用 的 动态 链接 库 名 字 等 信息 

e NOTE :给 出 一 些 附加 信息 的 位 置 和 大 小 

e GNU_STACK : 这 里 为 室 ， 应 该 是 和 GNU 相 关 的 一 些 信息 


这 里 的 段 可 能 包括 之 前 的 一 个 或 者 多 个 节 区 ， 也 就 是 说 经 过 链接 之 后 原来 的 节 区 被 
重 排 了 ， 并 映射 到 了 不 同 的 段 ， 这 些 段 将 告诉 系统 应 该 如 何 把 它 加 载 到 内 存 中 。 


链接 背后 的 故事 


从 上 表 中 ， 通 过 比较 可 执行 文件 test 中 拥有 的 节 区 和 可 重 定位 文件 ( test.o 
和 myprintf.o ) 中 拥有 的 节 区 后 发 现 ， 链 接 之 后 多 了 一 些 之 前 没有 的 节 区 ， 这 
些 新 的 节 区 来 自 哪里 ? 它们 的 作用 是 什么 呢 ? 先 来 通过 geo -v 看 看 它 的 后 台 链 
接 过 程 。 


把 可 重 定位 文件 链接 成 可 执行 文件 : 


$ gcc -v -o test test.o myprintf.o 

Reading specs from /usr/lib/gcc/1i486-slackware-linux/4.1.2/specs 

Target: 1486-slackware-linux 

Configured with: ../gcc-4.1.2/configure --prefix=/usr --enable-s 
hared 

--enable-languages=ada,c,ct++, fortran, java,objc --enable-threads= 
posix 

--enable-__cxa_atexit --disable-checking --with-gnu-ld --verbose 
--with-arch=1486 --target=1i486-slackware-linux --host=1i486-slack 

ware- linux 

Thread model: posix 

gcc version 4.1.2 
/usr/libexec/gcc/i486-slackware-linux/4.1.2/collect2 --eh-frame 
-hdr -m 

elf_i386 -dynamic-linker /lib/ld-linux.so.2 -o test 

/usr/lib/gcc/i486-slackware-linux/4.1.2/../../../crt1.0 

/usr/lib/gcc/i486-slackware-linux/4.1.2/../../../crti.o 

/usr/lib/gcc/1486-slackware-linux/4.1.2/crtbegin.o 
-L/usr/lib/gcc/i486-slackware-linux/4.1.2 
-L/usr/lib/gcc/i486-slackware-linux/4.1.2 
-L/usr/lib/gcc/i486-slackware-linux/4.1.2/../../../../1486-slack 

ware-linux/lib 
-L/usr/lib/gcc/i486-slackware-linux/4.1.2/../../.. test.o myprin 
tf.o -lgcc 

--as-needed -lgcc_s --no-as-needed -lc -lgcc --as-needed -lgcc_s 
--no-as-needed 

/usr/1lib/gcc/1i486-slackware-linux/4.1.2/crtend.o 

/usr/lib/gcc/i486-slackware-linux/4.1.2/../../../crtn.o 


从 上 述 演示 看 出 ， gcc 在 链接 了 我 们 自己 的 目标 文件 test.o 和 
myprintf.o 之 外 ， 还 链接 了 crti.o ， crtbegin.o 等 额外 的 目标 文件 ， 难 
道 那些 新 的 节 区 就 来 自 这 些 文件 ? 


用 ld 完成 链接 过 程 


另外 gcc 在 进行 了 相关 配置 ( ./configure ) 后 ， 调 用 了 collect2 ， 却 并 
没有 调用 ld ， 通 过 查找 goo 文档 中 和 collect2 相关 的 部 分 发 现 
collect2 在 后 台 实 际 上 还 是 去 寻找 ld 命令 的 。 为 了 理解 gcc 默认 链接 的 
后 台 细 节 ， 这 里 直接 把 collect2 替换 成 ld ， 并 把 一 些 路 径 换 成 绝对 路 径 或 者 
简化 ， 得 到 如 下 的 ld 命令 以 及 执行 的 效果 。 


$ ld --eh-frame-hdr \ 

-m elf_i386 \ 

-dynamic-linker /lib/ld-linux.so.2 \ 

-o test \ 

/usr/lib/crti.o /usr/lib/crti.o /usr/lib/gcc/i486-slackware-linu 
x/4.1.2/crtbegin.o \ 

test.o myprintf.o \ 

-L/usr/lib/gcc/i486-slackware-linux/4.1.2 -L/usr/i486-slackware- 
linux/lib -L/usr/lib/ \ 

-lgcc --as-needed -lgcc_s --no-as-needed -lc -lgcc --as-needed - 
lgcc_s --no-as-needed \ 
/usr/lib/gcc/i486-slackware-linux/4.1.2/crtend.o /usr/lib/crtn.o 
$ ./test 

hello, world! 


不 出 所 料 ， 它 完美 地 运行 了 。 下 面 通过 ld 的 手册 ( man ld ) 来 分 析 一 下 这 几 
个 参数 : 
e --eh-frame-hdr 


要 求 创建 一 个 .eh_frame_hdr 节 区 ( 狐 似 目标 文件 test 中 并 没有 这 个 节 区 ， 
所 以 不 关心 它 ) 。 


e -m elf_i386 


这 里 指定 不 同 平台 上 的 链接 脚本 ， 可 以 通过 --verbose 命令 查看 脚本 的 具 
体内 容 ， 如 ld -m elf_i386 --verbose ， 它 实际 上 被 存放 在 一 个 文件 中 
( /usr/lib/ldscripts HRP) ， 我 们 可 以 去 修改 这 个 脚本 ， 具 体 如 何 
做 ?请 参考 ld 的 手册 。 在 后 面 我 们 将 简要 提 到 链接 脚本 中 是 如 何 预定 义 变 
量 的 ， 以 及 这 些 预定 义 变量 如 何在 我 们 的 程序 中 使 用 。 需 要 提 到 的 是 ， 如 果 不 
是 交叉 编译 ， 那 么 无 须 指 定 该 选项 。 


e -dynamic-linker /lib/Id-linux.so.2 


指定 动态 装载 器 /链接 器 ， 即 程序 中 的 INTERP 段 中 的 内 容 。 动 态 装载 器 /链接 
器 负责 链接 有 可 共享 库 的 可 执行 文件 的 装载 和 动态 符号 链接 。 


e -o test 
指定 输出 文件 ， 即 可 执行 文件 名 的 名 字 
e /usr/lib/crt1.o /usr/lib/crti.o /usr/lib/gcc/i486-slackware-linux/4.1.2/crtbegin.o 


链接 到 test 文件 开头 的 一 些 内 容 ， 这 里 实际 上 就 包含 了 init 等 节 
Re .init 节 区 包含 一 些 可 执行 代码 ， 在 main 有 函数 之 前 被 调用 ， 以 便 进 
行 一 些 初 始 化 操作 ， 在 C++ 中 完成 构造 函数 功能 。 


e test.o myprintf.o 
链接 我 们 自己 的 可 重 定位 文件 


e -L/usr/lib/gcc/i486-slackware-linux/4.1.2 -L/usr/i486- 
slackware-linux/lib -L/usr/lib/ \ -lgcc --as-needed -lgcc_s -- 
no-as-needed -lc -lgcc --as-needed -lgcc_s --no-as-needed 


链接 libgcc #4" libe 库 ， 后 者 定义 有 我 们 需要 的 puts BR 
e /usr/lib/gcc/i486-slackware-linux/4.1.2/crtend.o /usr/lib/crtn.o 


链接 到 test 文件 末尾 的 一 些 内 容 ， 这 里 实际 上 包含 了 fini FF 

Ro fini 节 区 包含 了 一 些 可 执行 代码 ， 在 程序 退出 时 被 执行 ， 作 一 些 清理 
工作 ， 在 C++ 中 完成 析 构 造 函 数 功 能 。 我 们 往往 可 以 通过 atexit 来 注册 那 
些 需要 在 程序 退出 时 才 执 行 的 函数 。 


C++ 构造 与 析 构 : crtbegin.o 和 crtend.o 


对 于 crtbegin.o 和 crtend.o 这 两 个 文件 ， 和 貌似 完全 是 用 来 支持 C++ 的 构造 
和 析 构 工作 的 ， 所 以 可 以 不 链接 到 我 们 的 可 执行 文件 中 ， 和 链接 时 把 它们 去 掉 看 看 ， 


$ ld -m elf_i386 -dynamic-linker /lib/ld-linux.so.2 -o test \ 
/usr/lib/crti.o /usr/lib/crti.o test.o myprintf.o \ 
-L/usr/lib -lc /usr/lib/crtn.o # 后 面 发 现 不 用 链接 lipgcc， 也 不 用 - 
-eh-frame-hdr 参 数 
$ readelf -1 test 


Elf file type is EXEC (Executable file) 
Entry point 0x80482b0 


There are 7 program headers, starting at offset 52 


Program Headers: 


Type Offset VirtAddr PhysAddr FileSiz MemSiz 
Flg Align 

PHDR Ox000034 0x08048034 0x08048034 Ox000e0 Ox000e0 
R E 0x4 

INTERP 0x000114 0x08048114 0x08048114 0x00013 0x00013 
R 0x1 

[Requesting program interpreter: /lib/ld-linux.so.2] 

LOAD 0x000000 0x08048000 0x08048000 Ox003ea Ox003ea 
R E 0x1000 

LOAD 0x0003ec Ox080493ec 0x080493ec Ox000e8 0x000e8 
RW 0x1000 

DYNAMIC 0x0003ec Ox080493ec 0x080493ec OxO000C8 0x000c8 
RW 0x4 

NOTE 0x000128 0x08048128 0x08048128 Ox00020 0x00020 
R 0x4 

GNU_STACK 0x000000 0©x00000000 0©0x00000000 Ox00000 0x00000 
RW 0x4 


Section to Segment mapping: 
Segment Sections... 


00 
01 .interp 
02 .interp .note.ABI-tag .hash .dynsym .dynstr .gnu.versi 


on .gnu.version_r 
.rel.dyn .rel.plt .init .plt .text .fini .rodata 
03 .dynamic .got .got.plt .data 


04 . dynamic 
05 .note.ABI-tag 
06 

$ ./test 

hello, world! 


完全 可 以 工作 ， 而 且 发 现 ,ctors (保存 着 程序 中 全 局 构造 函数 的 指针 数组 ) ， 
.dtors (保存 着 程序 中 全 局 析 构 函数 的 指针 数组 ) ，.jcr (未 

知 ) , .eh_frame 节 区 都 没有 了 ， 所 以 crtbegin.o 和 crtend.o 应 该 包含 了 

这 些 节 区 。 


初始 化 与 退出 清理 : crti.o 和 crtn.o 


而 对 于 另外 两 个 文件 crti.o 和 crtn.o ， 通 过 readelf -S 查看 后 发 现 它 们 
都 有 init 和 fini 节 区 ， 如 果 我 们 不 需要 让 程序 进行 一 些 初 始 化 和 清理 工 
作 呢 ?是 不 是 就 可 以 不 链接 这 个 两 个 文件 ? 试 试看 。 


$ ld -m elf_i386 -dynamic-linker /lib/ld-linux.so.2 -o test \ 
/usr/lib/crti.o test.o myprintf.o -L/usr/lib/ -lc 
/usr/lib/libc_nonshared.a(elf-init.oS): In function ~__libc_csu 





init': 
(.text+0x25): undefined reference to `_init' 


貌似 不 行 ， 竞 然 有 人 调用 了 libc csu init h% > M&A BAIAT 
_init 。 这 两 个 符号 都 在 哪里 呢 ? 





$ readelf -s /usr/lib/crti.o | grep __libc_csu_init 








18: 00000000 © NOTYPE GLOBAL DEFAULT UND libc_csu_in 
it 
$ readelf -s /usr/lib/crti.o | grep _init 

17: 00000000 © FUNC GLOBAL DEFAULT 5 _init 


竞 然 是 crt1.0 WAT libc_csu_init 函数 ， 而 该 函数 却 引 用 了 我 们 没有 
链接 的 crti.o 文件 中 定义 的 _init 符号 。 这 样 的 话 不 链接 crti.o 和 
crtn.o 文件 就 不 成 了 罗 ? 不 对 吧 ， 要 不 干脆 不 用 crti.o 算 了 ， 看 看 gcc 
额外 链接 进去 的 最 后 一 个 文件 crt1i.o 到 底 干 了 个 啥子 ? 





$ ld -m elf_i386 -dynamic-linker /1lib/ld-linux.so.2 -o \ 
test test.o myprintf.o -L/usr/lib/ -lc 


ld: warning: cannot find entry symbol _start; defaulting to 0000 


0000080481a4 


这 样 却说 没有 找到 入 口 符号 
给 默认 设置 了 一 个 地 址 ， 只 
看 再 说 。 


$ ./test 
hello, world! 
Segmentation fault 


貌似 程序 运行 完了 ， 不 过 
gdb 调试 看 看 : 


_start 


， 难 道 crti.o 中 定义 了 这 个 符号 ?不 过 它 


NES > HHA test 已 经 生成 ， 不 管 怎样 先 运行 看 


结束 时 冒 出 个 段 错误 ? 可 能 是 程序 结束 时 有 问题 ， 用 


$ gcc -g -c test.c myprintf.c # 产 生 目 标 代 码 ， 非 交叉 编译 ， 不 指定 -m 也 可 
链接 ， 所 以 下 面 可 去 掉 -m 
$ ld -dynamic-linker /lib/ld-linux.so.2 -o test \ 
test.o myprintf.o -L/usr/lib -lc 
ld: warning: cannot find entry symbol _start; defaulting to 0000 
0000080481d8 
$ ./test 
hello, world! 
Segmentation fault 
$ gdb -q ./test 


(gdb) 1 

1 #include "test.h" 

2 

3 int main() 

4 { 

5 myprintf(); 

6 return 0, 

7 } 

(gdb) break 7 # 在 程序 的 末尾 设置 一 个 断 点 
Breakpoint 1 at 0x80481bf: file test.c, line 7. 
(gdb) r # 程 序 都 快 结束 了 都 没 问 题 ， 怎 么 会 到 最 后 出 个 问题 呢 ? 


Starting program: /mnt/hda8/Temp/c/program/test 
hello, world! 


Breakpoint 1, main () at test.c:7 

7 } 

(gdb) n HŽ PAITAA ” ESAT M—-AIS£0x00000001 > H EAF R 
出 以 后 出 了 问题 

0x00000001 in ?? () 


(gdb) n HR’ SARTA T > 437 0x000000017 
Cannot find bounds of current function 

(gdb) c 

Continuing. 


Program received signal SIGSEGV, Segmentation fault. 
0x00000001 in ?? () 


原来 是 这 么 回 事 ， 估 计 是 return 9 返回 之 后 出 问题 了 ， 看 看 它 的 汇编 去 。 


$ gcc -S test.c # 产 生 汇 编 代 三 
$ cat test.s 


call myprintf 

movl $0, %eax 

addl $4, %esp 

popl %ECX 

popl %ebp 

leal -4(%ecx), %esp 
ret 


后 面 就 这 么 几 条 指令 ， 难 不 成 ret 返回 有 问题 ， 不 让 它 ret 返回 ， 把 
return AA exit 直接 进入 内 核 退 出 。 


$ vim test.c 

$ cat test.c # 就 把 return 语 多 修改 成 exit 了 。 
#include "test.h" 

#include <unistd.h> /* _exit */ 


int main() 
{ 
myprintf(); 
_exit(0); 
} 
$ gcc -g -c test.c myprintf.c 
$ ld -dynamic-linker /lib/ld-linux.so.2 -o test test.o myprintf. 
o -L/usr/lib -1c 
ld: warning: cannot find entry symbol _start; defaulting to 0000 
0000080481d8 
$ ./test # 竞 然 好 了 ， 再 看 看 汇编 有 什么 不 同 
hello, world! 
$ gcc -S test.c 
$ cat test.s # 貌 似 就 把 ret 指令 替换 成 了 _exit 函 数 调用 ， 直 接 进 入 内 核 ， 让 
内 核 处 理 了 ， 那 为 什么 ret 有 问题 呢 ? 


call myprintf 
subl $12, %esp 
pushl $0 


call exit 


$ gdb -q ./test # 把 代码 改 回去 ( 改 成 return 0;) ， 再 调试 看 看 调用 main 
函数 返回 时 的 下 一 条 指令 地 址 eip 

(gdb) 1 

warning: Source file is more recent than executable. 


1 #include "test.h" 

2 

3 int main() 

4 { 

5 myprintf(); 
6 return 0; 

7 } 


(gdb) break 5 

Breakpoint 1 at 0x80481b5: file test.c, line 5. 
(gdb) break 7 

Breakpoint 2 at 0x80481bc: file test.c, line 7. 
(gdb) r 

Starting program: /mnt/hda8/Temp/c/program/test 


Breakpoint 1, main () at test.c:5 


5 myprintf(); 

(gdb) x/8x $esp 

Oxbf929510: Oxbf92953c 0x080481a4 0x00000000 
Oxb7eea84f 

Oxbf929520: Oxbf92953c Oxbf929534 0x00000000 
0x00000001 


发 现 0x00000001 刚好 是 之 前 调试 时 看 到 的 程序 返回 后 的 位 置 ， 即 eip ， 说 明 
程序 在 初始 化 时 ， 这 个 eip 就 是 错误 的 。 为 什么 呢 ? 因为 根本 没有 链接 进 初 始 化 
的 代码 ， 而 是 在 编译 器 自己 给 我 们 ， 初 始 化 了 程序 入 口 即 90000000080481d8 > & 


就 是 说 ， 没 有 人 调用 main > main 不 知道 返回 哪里 去 ， 所 以 ， 我 们 直接 让 main 结束 时 


进入 内 核 调用 exit 而 退出 则 不 会 有 问题 。 


通过 上 面 的 演示 和 解释 发 现 只 要 把 return 语 名 修改 为 _exit 语 名， 程序 即使 不 链接 任 


何 额外 的 目标 代码 都 可 以 正常 运行 (原因 是 不 链接 那些 额外 的 文件 时 相当 于 没有 进 


行 初 始 化 操作 ， 如 果 在 程序 的 最 后 执行 ret 汇 编 指 令 ， 程 序 将 无 法 获得 正确 的 eip ， 
从 而 无 法 进行 后 续 的 动作 ) 。 但 是 为 什么 会 有 " 找 不 到 _start 符 号 "的 警告 呢 ? 通 


过 readelf -s 查看 crt1.0 发 现 里 头 有 这 个 符号 ， 并 且 crt1.0 引 用 了 main 这 个 符 
号 ， 是 不 是 意味 着 会 从 _start 进入 main 呢 ? 是 不 是 程序 入 口 是 start ， 而 并 
非 main 呢 ? 


C 语言 程序 趴 正 的 入 口 


先 来 看 看 刚才 提 到 的 链接 器 的 默认 链接 脚本 ( ld -m elf_386 --verbose ) > © 
告诉 我 们 程序 的 入 口 (entry) 是 _start ， 而 一 个 可 执行 文件 必须 有 一 个 入 口 地 
址 才能 运行 ， 所 以 这 就 是 说 明了 为 什么 ld 一 定 要 提示 我 们 “start 找 不 到 ”， 找 不 
到 以 后 就 给 默认 设置 了 一 个 地 址 。 


$ ld --verbose | grep ENTRY # 非 交叉 编译 ， 可 不 用 -m 参 数 ; 1d 上 默认 找 _ 
start 入 口 ， 并 不 是 main 哦 ! 
ENTRY(_start) 


原来 是 这 样 ， 程 序 的 入 口 (entry) FARA main BR Me _start ° MF 
脆 把 汇编 里 头 的 main 给 改 掉 算 了 ， 看 行 不 行 ? 


先生 成 汇编 test.s 


$ cat test.c 
#include "test.h" 
#include <unistd.h> ee OE 4 // 


int main() 


{ 
myprintf(); 
_exit(0); 


} 
$ gcc -S test.c 


然后 把 汇编 中 的 main MA _start ， 即 改 程序 入 口 为 _ start 


$ sed -i -e "S#main#_start#g" test.s 
$ gcc -c test.s myprintf.c 


重新 链接 ， 发 现 果 然 没 问 题 了 : 


$ ld -dynamic-linker /lib/ld-linux.so.2 -o test test.o myprintf. 
o -L/usr/lib/ -ic 

$ ./test 

hello, world! 


_start 竟然 是 真正 的 程序 入 口 ， 那 在 有 main 的 情况 下 呢 ?为 什么 在 
_start 之 后 能 够 找到 main 呢 ? 这 个 看 看 alert7 大 叔 的 Before main 777% ， 
这 里 不 再 深入 介绍 。 


总 之 呢 ， 通 过 修改 程序 的 return 语句 为 _exit(0) 和 修改 程序 的 入 口 为 
_start ， 我 们 的 代码 不 链接 gcc 默认 链接 的 那些 额外 的 文件 同样 可 以 工作 得 
很 好 。 并 且 打 破 了 一 个 学 习 C 语言 以 来 的 常识 : main 函数 作为 程序 的 主 函 数 ， 
是 程序 的 入 口 ， 实 际 上 则 不 然 。 


链接 脚本 初次 接触 


再 补充 一 点 内 容 ， 在 ld 的 链接 脚本 中 ， 有 一 个 特别 的 关键 字 PROVIDE ， 由 这 
个 关键 字 定 义 的 符号 是 1d WR ee eae Cone aan 
直接 使 用 。 这 些 特别 的 符号 可 以 通过 下 面 的 方法 获取 ， 


$ ld --verbose | grep PROVIDE | grep -v HIDDEN 

PROVIDE (__executable_start = 0x08048000); . = 0x08048000 + SI 
ZEOF_HEADERS; 

PROVIDE (__etext = .); 

PROVIDE (_etext = .); 

PROVIDE (etext = .); 

_edata = .; PROVIDE (edata = .); 

_end = .; PROVIDE (end = .); 


这 里 面 有 几 个 我 们 比较 关心 的 ， 第 一 个 是 程序 的 入 口 地 址 

”executable start ， 另 外 三 个 是 etext ， edata ， end ， 分 别 对 应 程序 
的 代码 段 (text) 、 初 始 化 数据 (data) 和 未 初始 化 的 数据 (bss) (可 参考 man 
etext ) ， 如 何 引 用 这 些 变量 呢 ? 看 看 这 个 例子 。 


/* predefinevalue.c */ 
#include <stdio.h> 


extern int __executable_start, etext, edata, end; 


int main(void) 


{ 


到 这 


printf ("program entry: Ox%x \n", & executable start); 
printf ("etext address(text segment): Ox%x \n", &etext); 
printf ("edata address(initilized data): Ox%x \n", &edata); 
printf ("end address(uninitilized data): Ox%x \n", &end); 


return 0; 


里 ， 程 序 链接 过 程 的 一 些 细节 都 介绍 得 差不多 了 。 在 《动态 符号 链接 的 细节 》 


中 将 主要 介绍 ELF 文件 的 动态 符号 链接 过 程 。 
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当 我 们 在 Linux 下 的 命令 行 输入 一 个 命令 之 


什么 是 命令 行 接口 


用 户 使 用 计算 机 有 两 种 常见 的 方式 ， 一 种 是 图 形 化 的 接口 (GUI) ， 另 外 一 种 则 是 
命令 行 接口 (CLI) 。 对 于 图 形 化 的 接口 ， 用 户 点 击 某 个 图 标 就 可 启动 后 台 的 菜 个 
程序 ; 对 于 命令 行 的 接口 ， 用 户 键入 某 个 程序 的 名 字 就 可 启动 某 个 程序 。 这 两 者 的 
基本 过 程 是 类 似 的 ， 都 需要 查找 程序 文件 在 磁盘 上 的 位 置 ， 加 载 到 内 存 并 通过 不 同 
的 解释 器 进行 解析 和 运行 。 下 面 以 命令 行为 例 来 介绍 程序 执行 一 草 那 发 生 的 一 些 事 
青 


4 o 


=> 


首先 来 介绍 什么 是 命令 行 ? 命 令 行 就 是 Command Line ， 很 直观 的 概念 就 是 系统 
启动 后 的 那个 黑屏 幕 : 有 一 个 提示 符 ， 并 有 光标 在 闪烁 的 那样 一 个 终端 ， 一 般 情 况 
下 可 以 用 CTRL+ALT+F1-6 切换 到 不 同 的 终端 ;在 GUI 界面 下 也 会 有 一 些 伪 终 

端 ， 看 上 去 和 系统 启动 时 的 那个 终端 没有 什么 区 别 ， 也 会 有 一 个 提示 符 ， 并 有 一 个 
光标 在 闪烁 。 就 提示 符 和 响应 用 户 的 键盘 输入 而 言 ， 它 们 两 者 在 功能 上 是 一 样 的 ， 
实际 上 它们 就 是 同一 个 东西 ， 用 下 面 的 命令 就 可 以 把 它们 打印 出 来 。 


$ echo $SHELL # 打印 当前 SHELL ， 当 前 运行 的 命令 行 接口 程序 


/bin/bash 
$ echo $$ # 该 程序 对 应 进程 ID，$$ 是 个 特殊 的 环境 变量 ， 它 存放 了 当前 进程 I 
D 
1481 
$ ps -C bash # 通过 PS 命令 查看 
PID TTY TIME CMD 


1481 pts/0 00:00:00 bash 


从 上 面 的 操作 结果 可 以 看 出 ， 当 前 命令 行 接口 实际 上 是 一 个 程序 ， 那 就 是 
/bin/bash ， Sp aise 的 程序 ， 它 打印 提示 符 ， 接 受用 户 输入 的 命令 


> 


分 析 命 令 序 列 并 执行 然后 结果 。 不 过 /bin/bash 仅仅 是 当前 使 用 的 命令 行 
程序 之 一 ， 还 有 很 多 re 芭 的 程序 ， 比 如 /bin/ash , /bin/dash 等 。 不 
o bash ， 讨 论 它 自己 是 怎么 启动 的 ， 它 怎么 样 处 理 用 户 输入 的 


/bin/bash 是 什么 启动 的 


/bin/login 


先 通过 CTRL+ALT+F1 切换 到 一 个 普通 终端 下 面 ， 一 般 情 况 下 看 到 的 是 "XXX 
login: "提示 输入 用 户 名 ， 接 着 是 提示 输入 密码 ， 然 后 呢 ? 就 直接 登录 到 了 我 们 的 命 
令 行 接口 。 实 际 上 正 是 你 输入 正确 的 密码 后 ， 那 个 程序 才 把 /bin/bash 给 启动 
了 。 那 是 什么 东西 提示 "XXX login:" 的 呢 ? 正 是 /bin/login 程序 ， 那 
/bin/login 程序 怎么 知道 要 启动 /bin/bash ， 而 不 是 其 他 的 /bin/dash 
呢 ? 


/bin/login 程序 实际 上 会 检查 我 们 的 /etc/passwd 文件 ， 在 这 个 文件 里 头 包 
含 了 用 户 名 、 密 码 和 该 用 户 的 登录 Shell。 密 码 和 用 户 名 匹配 用 户 的 登录 ， 而 登录 
Shell 则 作为 用 户 登 录 后 的 命令 行程 序 。 看 看 /etc/passwd 中 典型 的 这 么 一 行 : 


$ cat /etc/passwd | grep falcon 
falcon:x:1000:1000:falcon, ,, :/home/falcon:/bin/bash 


这 个 是 我 用 的 帐号 的 相关 信息 哦 ， 看 到 最 后 一 行 没 ? /bin/bash ， 这 正 是 我 登录 
用 的 命令 行 解释 程序 。 至 于 密码 呢 ， 看 到 eu x 没 ? 这 个 x 说 明 我 的 密码 被 保 
存在 另外 一 个 文件 里 头 /etc/shadow ， 而 且 密 码 是 经 过 加 密 的 。 至 于 这 两 个 文件 
的 更 多 细节 ， 看 手册 吧 。 


我 们 怎么 知道 刚好 是 /bin/login 打印 了 "XXX login" 呢 ? 现 在 回顾 一 下 很 早 以 
前 学 习 的 那个 strace 命令 。 我 们 可 以 用 strace 命令 来 跟踪 /bin/login 


跟 上 面 一 样 ， 切 换 到 一 个 普通 终端 ， 并 切换 到 Root 用 户 ， 用 下 面 的 命令 : 


$ strace -f -o strace.out /bin/login 


退出 以 后 就 可 以 打开 strace.out 文件 ， 看 看 到 底 执行 了 哪些 文件 ， 读 取 了 哪些 
文件 。 从 中 可 以 看 到 正 是 /bin/login 程序 用 execve 调用 了 /bin/bash ® 
令 。 通 过 后 面 的 演示 ， 可 以 发 现 /bin/login 只 是 在 子 进 程 里 头 用 execve W 
用 了 /bin/bash ， 因 为 在 启动 /bin/bash 后 ， 可 以 看 到 /bin/login 并 没 


/bin/getty 
AB /bin/login 又 是 怎么 起 来 的 呢 ? 
下 面 再 来 看 一 个 演示 。 先 在 一 个 可 以 登陆 的 终端 下 执行 下 面 的 命令 。 


$ getty 38400 tty8 linux 


getty 命令 停留 在 那里 ， 貌 似 等 待 用 户 的 什么 操作 ， 现 在 切 回 到 第 8 个 终端 ， 是 
不 是 看 到 有 "XXX login:" 的 提示 了 。 输 入 用 户 名 并 登录 ， 之 后 退出 ， 回 到 第 一 个 终 
端 ， 发 现 getty 命令 已 经 退出 。 


类 似 地 ， 也 可 以 用 strace 命令 来 跟踪 getty 的 执行 过 程 。 在 第 一 个 终端 下 切 
换 到 Root 用 户 。 执 行 如 下 命令 


$ strace -f -o strace.out getty 38400 tty8 linux 


同样 在 strace.out 命令 中 可 以 找到 该 命令 的 相关 启动 细节 。 上 比如 ， 可 以 看 到 正 
是 getty 程序 用 execve 系统 调用 执行 了 /bin/login 程序 。 这 个 地 

A? getty 是 在 自己 的 主 进程 里 头 a. /bin/login ， 这 样 
/bin/login 将 把 getty 的 进程 空间 替换 掉 。 


/sbin/init 


这 里 涉及 到 一 个 非常 重要 的 东西 : /sbin/init ， 通 过 man init 命令 可 以 查看 
到 该 命令 的 作用 ， 它 可 是 “万物 之 王 ”(init is the parent of all processes on the 
system) 哦 。 它 是 Linux 系统 默认 启动 的 第 一 个 程序 ， 负 责 进行 Linux 系统 的 一 些 
初始 化 工作 ， 而 这 = 则 是 通过 /etc/inittab RRMA o BAR 
看 看 /etc/inittab 的 一 个 简单 的 例子 吧 ， 可 以 通过 man inittah 查看 相关 
帮助 。 


需要 注意 的 是 ， 在 较 新 版 本 的 Ubuntu 和 Fedora 等 发 行 版 中 ， 一 些 新 的 init # 
序 ， 比 如 upstart 和 systemd 被 开发 出 来 用 于 取代 System V init ， 它 们 
可 能 放弃 了 对 /etc/inittab 的 使 用 ， 例 如 upstart 会 读 取 /etc/init/ 下 
的 配置 ， 比 如 /etc/init/tty1.conf 是 类 似 
/etc/inittab ， 对 于 upstart 的 init 配置 ， 这 里 不 做 介绍 ， 请 通过 man 
5 init 查看 帮助 。 


置 文件 /etc/inittab 的 语法 非常 简单 ， 就 是 下 面 一 行 的 重复 ， 


id:runlevels:action:process 


e id 就 是 一 个 唯一 的 编号 ， 不 用 管 它 ， 一 个 名 字 而 言 ， 无 关 紧 要 。 


e runlevels 是 运行 级 别 ， 这 个 还 是 比较 重要 的 ， 理 解 运 行 级 别 的 概念 很 有 必 
要 ， 它 可 以 有 如 下 的 取 值 : 


© is halt. 

1 is single-user. 
2-5 are multi-user. 
6 is reboot. 


不 过 ， 申 正在 配置 文件 里 头 用 的 是 1-5 Tom 0 和 6 非常 特别 ， 

用 它 作为 init 命令 的 参数 关机 和 重 oe sc rch Rees 
统 的 配置 文件 里 头 ， 让 系统 启动 以 后 就 关机 或 者 重启 。 1 代表 单 用 户 ， 而 
2-5 则 代表 多 用 户 。 对 于 2-5 可 能 有 不 同 的 解释 ， 比 如 在 Slackware 12.0 
上 ，2,3,5 被 用 来 作为 多 用 户 模 式 ， 但 是 默认 不 启动 X windows (GUI 接 
口 ) ， 而 4 则 作为 启动 X windows 的 运行 级 别 。 


action 是 动作 ， 它 也 有 很 多 选择 ， 我 们 关心 几 个 常用 的 
initdefault : 用 来 指定 系统 启动 后 进入 的 运行 级 别 ， 通 常 在 


/etc/inittab 的 第 一 条 配置 ， 如 : 


id:3:initdefault: 


NTA RUE FAG Ee 3° PSA PRA 1227 BA X window 的 那 种 。 


sysinit : 指定 那些 在 系统 启动 时 将 被 执行 的 程序 ， 例 如 : 


si:S:sysinit:/etc/rc.d/rc.S 


在 man inittab 中 提 到 ， 对 于 sysinit ， boot 等 动作 ， runlevels 
选项 是 不 用 管 的 ， 所 以 可 以 很 容易 解读 这 条 配置 : 它 的 意思 是 系统 启动 时 将 默 
认 执 行 /etc/re.d/rc.S 文件 ， 在 这 个 文件 里 可 直接 或 者 间接 地 执行 想 让 系 
统 启 动 时 执行 的 任何 程序 ， 完 成 系统 的 初始 化 。 


wait : 当 进 入 某 个 特别 的 运行 级 别 时 ， 指 定 的 程序 将 被 执行 一 次 ， init 
将 等 到 它 执 行 完 a ， 例 如 : 


rc:2345:wait:/etc/rc.d/rc.M 


这 个 说 明 无 论 是 进入 运行 级 别 2，3，4，5 中 哪 一 个 ，/etc/rc.d/rc.M 将 
被 执行 一 次 ， 并 且 有 init 等 待 它 执行 完成 。 


ctrlaltdel ， 当 init 程序 接收 到 SIGINT 信号 时 ， 某 个 指定 的 程序 将 
被 执行 ， 我 们 通常 通过 按 下 CTRL+ALT+DEL ， 这 个 默认 情况 下 将 给 init 
发 送 一 个 SIGINT 信号 。 


如 果 我 们 想 在 按 下 这 几 个 键 时 ， 系 统 重启 ， 那 么 可 以 在 /etc/inittab 7S 
Dn? 


ca::ctrlaltdel:/sbin/shutdown -t5 -r now 


e respawn : 这 个 指定 的 进程 将 被 重启 ， 任 何 时 候 当 它 退 出 时 。 这 意味 着 没有 
办 法 结束 它 ， 除 非 init 自己 结束 了 。 例 如 : 


c1:1235:respawn:/sbin/agetty 38400 tty1 linux 


这 一 行 的 意思 非常 简单 ， 就 是 系统 运行 在 级 别 1，2，3，5 时 ， 将 默认 执行 
/sbin/agetty 程序 (这 个 类 似 于 上 面 提 到 的 getty 程序 ) ， 这 个 程序 非 
常 有 意思 ， 就 是 无 论 什 么 时 候 它 退出 ， init 将 再 次 启动 它 。 这 个 有 几 个 比 

较 有 意思 的 问题 : 


e 在 Slackware 12.0 下 ， 当 默认 运行 级 别 为 4 时 ， 只 有 第 6 个 终端 可 以 用 。 原 
因 是 什么 呢 ? 因为 类 似 上 面 的 配置 ， 因 为 那里 只 有 1235 > MARA 4 ， 这 意 
味 着 当 系 统 运行 在 第 4 级 别 时 ， 其 他 终端 下 的 /sbin/agetty 没有 启动 。 
所 以 ， 如 果 想 让 其 他 终端 都 可 以 用 ， 把 1235 修改 为 12345 PP ° 


e 另外 一 个 有 趣 的 问题 就 是 : EX init 程序 在 读 取 这 个 配置 行 以 后 启动 了 
/sbin/agetty ， 这 就 是 /sbin/agetty 的 秘密 。 

e 还 有 一 个 问题 : 无 论 退 出 哪个 终端 ， 那 个 "XXX login" 总 是 会 被 打印 ， 原 因 是 
respawn 动作 有 趣 的 性 质 ， 因 为 它 告诉 init ， 无 论 /sbin/agetty 什 
么 时 候 退 出 ， 重 新 把 它 启 动 起 来 ， 那 跟 "XXX login" 有 什么 关系 呢 ? 从 前 面 的 
内 容 ， 我 们 发 现 正 是 /sbin/getty (F agetty ) BAT 
/bin/login ， 而 /bin/login 又 启动 了 /bin/bash ， 即 我 们 的 命令 行 


程序 。 


> 动 过 程 追 本 济源 


而 init 程序 作为 “万 物 之 王 ”*"， 它 是 所 有 进程 的 “ 父 ”( 也 可 能 是 祖父 ...... ) 进程 ， 

意味 着 其 他 进程 最 多 只 能 是 它 的 儿子 进程 。 而 这 个 子 进程 是 怎么 创建 的 ， fork 
an ， 而 不 是 之 前 提 到 的 execve 调用 。 前 者 创建 一 个 子 进 程 ， 后 者 则 会 覆盖 当 
进程 。 因 为 我 们 发 现 /sbin/getty 运行 > init 并 没有 退出 ， 因 此 可 以 判 
断 是 fork 调用 创建 一 个 子 进 程 后 ， 才 通过 execve 执行 了 /sbin/getty ° 


因此 ， 可 以 总 结 出 这 么 一 个 调用 过 程 


fork execve execve fork execv 
e 
init --> init --> /sbin/getty --> /bin/login --> /bin/login --> 
/bin/bash 


这 里 的 execve 调用 以 后 ， 后 者 将 直接 替换 前 者 ， 因 此 当 键 入 exit 退出 
/bin/bash 以 后 ， 也 就 相当 于 /sbin/getty 都 已 经 结束 了 ， 因 此 最 前 面 的 
init 程序 判断 /sbin/getty 退出 了 ， 又 会 创建 一 个 子 进程 把 /sbin/getty 
启动 ， 进 而 又 启动 了 /bin/login ， 又 看 到 了 那个 "XXX login:"。 


通过 ps 和 pstree 命令 看 看 实际 情况 是 不 是 这 样 ， 前 者 打印 出 进程 的 信息 ， 
后 者 则 打印 出 调用 关系 。 


$ ps -ef | egrep "/sbin/init|/sbin/getty|bash|/bin/login" 


root 1 © 0 21:43 ? 00:00:01 /sbin/init 

root 3957 1 © 21:43 tty4 00:00:00 /sbin/getty 3840 
9 tty4 

root 3958 1 © 21:43 tty5 00:00:00 /sbin/getty 3840 
9 tty5 

root 3963 1 © 21:43 tty3 00:00:00 /sbin/getty 3840 
0 tty3 

root 3965 1 © 21:43 tty6 00:00:00 /sbin/getty 3840 
9 tty6 

root 7023 1 © 22:48 ttyl 00:00:00 /sbin/getty 3840 
© ttyl 

root 7081 1 © 22:51 tty2 00:00:00 /bin/login -- 
falcon 7092 7081 © 22:52 tty2 00:00:00 -bash 


上 面 的 结果 已 经 过 滤 了 一 些 不 相干 的 数据 。 从 上 面 的 结果 可 以 看 到 ， 除 了 tty2 
RAR /bin/login 外 ， 其 他 终端 都 运行 着 /sbin/getty ， 说 明 终端 2 上 的 
进程 是 /bin/login ， 它 已 经 把 /sbin/getty 替换 掉 ， 另 外 ， 我 们 看 到 - 
bash 进程 的 父 进程 是 7081 刚好 是 /bin/login 程序 ， 这 说 明 /bin/login 
启动 了 -bash ， 但 是 它 并 没有 替换 掉 /bin/login ， 而 是 成 为 了 
的 子 进 程 ， 这 说 明 /bin/login 通过 fork 创建 了 一 个 子 进程 并 通过 execve 


执行 了 -bash (后 者 通过 strace 跟踪 到 ) om init 呢 ， 其 进程 ID 是 1， 
是 /sbin/getty 和 /bin/login 的 父 进 程 ， 说 明 init 启动 或 者 间接 启动 了 
它们 。 下 面 通过 pstree 来 查看 调用 树 ， 可 以 更 清晰 地 看 出 上 述 关系 。 


$ pstree | egrep "init|getty|\-bash|login" 
init-+-5*[getty] 

| -login---bash 

| -xfce4-terminal-+-bash-+-grep 


a 


结果 显示 init 是 5 个 getty 4° login 程序 和 xfce4-terminal 的 父 
进程 ， 而 后 两 者 则 是 bash 的 父 进程 ， 另 外 我 们 执行 的 grep 命令 则 在 bash 
上 运行 ， bash 的 子 进 程 ， 这 个 将 是 我 们 后 面 关心 的 问题 。 


从 上 面 的 结果 发 现 ， init 作为 所 有 进程 的 父 进 程 ， 它 的 父 进程 ID 钳 有 兴趣 的 是 
0， 它 是 怎么 被 启动 的 呢 ? 谁 才 是 卜 正 的 "造物主 ”? 


谁 启动 了 /sbin/init 


如 果 用 过 Lilo 或 者 Grub 这 些 操作 系统 引导 程序 ， 可 能 会 用 到 Linux 内 核 的 
一 个 启动 参数 init ， 当 忘记 密码 时 ， 可 能 会 把 这 个 参数 设置 成 /bin/bash ， 
让 系统 直接 进入 命令 行 ， 而 无 须 输入 帐号 和 密码 ， 这 样 就 可 以 方便 地 把 登录 密码 修 
BAR © 


这 个 init 参数 是 个 什么 东西 呢 ? 通 过 man bootparam 会 发 现 它 的 秘 

Bo init 参数 正好 指定 了 内 核 启 动 后 要 启动 的 第 一 个 程序 ， 而 如 果 没 有 指定 该 
参数 ， 内 核 将 依次 查找 

/sbin/init ， /etc/init ， /bin/init ， /bin/sh ， 如 果 找 不 到 这 几 个 文 
件 中 的 任何 一 个 ， 内 核 就 要 恐慌 (panic) 了 ， 并 挂 (hang) 在 那里 一 动不动 了 
(È : 如果 panic=timeout 被 传递 给 内 核 并 且 timeout 大 于 0， 那 么 就 不 会 
挂 住 而 是 重启 ) 。 


因此 /sbin/init 就 是 Linux 内 核 启 动 的 。 而 Linux 内 核 呢 ?是 通过 Lilo 或 
者 Grub 等 引导 程序 启动 的 ， Lilo 和 Grub 都 有 相应 的 配置 文件 ， 一 般 对 应 
/etc/lilo.conf 和 人 TE, Ist ， 通 过 这 些 配置 文件 可 以 指定 内 核 
映像 文件 、 系 统 根 目录 所 在 分 区 、 选项 标签 等 信息 ， 从 而 能 够 让 它们 顺利 把 内 
该 启动 起 来 。 


AS Lilo 和 Grub 本 身 又 是 怎么 被 运行 起 来 的 呢 ?3 有 了 解 MBR 不 ?MBR 就 是 
主 引 导 遍 区， 一 般 情况 下 这 里 存放 着 Lilo 和 Grub 的 代码 ， 而 谁 知 道 正 好 是 
这 里 存放 了 它们 呢 ?BIOS， 如 果 你 用 光盘 安装 过 操作 系统 的 话 ， 那 么 应 该 修改 过 

BIOS 的 默认 启动 设置 ， 通 过 设置 可 以 让 系统 从 光盘 、 硬 盘 、U 盘 其 至 软盘 启 
动 。 正 是 这 里 的 设置 让 BIOS 知道 了 MBR 处 的 代码 需要 被 执行 。 


A BIOS 又 是 什么 时 候 被 起 来 的 呢 ? 处 理 器 加 电 后 有 一 个 默认 的 起 始 地 址 ， 一 上 电 
就 执行 到 了 这 里 ， 再 之 前 就 是 开机 键 按键 后 的 上 电 时 序 。 


更 多 系统 启动 的 细节 ， 看 看 man boot-scripts 吧 。 


系统 启动 后 运行 的 一 个 程序 


到 这 里 ， /bin/bash 的 神秘 面纱 就 被 揭 开 了 ， 它 只 是 ; 
底 是 如 何 响 应 用 户 请 求 的 呢 ? 


而 已 ， 只 不 过 这 个 程序 可 以 响应 用 户 的 请 求 ， 那 它 到 
Ibin/bash 如 何 处理 用 户 键入 的 命令 


预备 知识 


在 执行 磁盘 上 某 个 程序 时 ， 通 常 不 会 指定 这 个 程序 文件 的 绝对 路 径 ， 比 如 要 执行 
echo 命令 时 ， 一 般 不 会 输入 /bin/echo ， 而 仅仅 是 输入 echo ° PAAR 
样 bash 也 能 够 找到 /bin/echo 呢 ? 原 因 是 Linux 操作 系统 支持 这 样 一 种 策 
略 : Shell 的 一 个 环境 变量 PATH 里 头 存放 了 程序 的 一 些 路 径 ， 当 Shell 执行 程序 
时 有 可 能 去 这 些 目录 下 查找 。 which 作为 Shell (这 里 特 指 bash ) 的 一 个 内 置 
命令 ， 如 果 用 户 输 入 的 命令 是 磁盘 上 的 某 个 程序 ， 它 会 返回 这 个 文件 的 全 路 径 。 


有 三 个 东西 和 终端 的 关系 很 大 ， 那 就 是 标准 输入 、 标 准 输出 和 标准 错误 ， 它 们 是 三 
个 文件 描述 符 ， 一 般 对 应 描述 符 0，1，2。 在 C 语言 程序 里 ， 我 们 可 以 把 它们 当 作 
文件 描述 符 一 样 进行 操作 。 在 命令 行 下 ， 则 可 以 使 用 重 定向 字符 >，< 等 对 它们 进 
行 操 作 。 对 于 标准 输出 和 标准 错误 ， 都 默认 输出 到 终端 ， 对 于 标准 输入 ， 也 同样 默 
认 从 终端 输入 。 


哪 种 命令 先 被 执行 


在 C 语言 里 头 要 写 一 段 输入 字符 串 的 命令 很 简单 ， 调 用 scanf 或 者 fgets 就 
可 以 。 这 个 在 bash 里 头 应 该 是 类 似 的 。 但 是 它 获取 用 户 的 命令 以 后 ， 如 何 分 析 
命令 ， 如 何 响应 不 同 的 命令 呢 ? 


首先 来 看 看 bash 下 所 谓 的 命令 ， 用 最 常见 的 test 来 作 测试 。 


字符 囊 被 解析 成 命令 


随便 键入 一 个 字符 串 testi ， bash 发 出 响应 ， 告 知 找 不 到 这 个 程序 : 


$ test1 
bash: testi: command not found 


内 

而 当 键 入 test 时 ， 看 不 到 任何 输出 ， 唯 一 响应 是 ， 新 命令 提示 符 被 打印 
村 。 

$ test 


查看 test 这 个 命令 的 类 型 ， 即 查看 test 将 被 如 何 解释 ， type 告诉 我 
们 test 是 一 个 内 置 命令 ， 如 果 没 有 理解 错 ， test 应 该 是 利用 诸如 
case "test": do something;break; 这 样 的 机 制 实现 的 ， 具 体 如 何 实现 
可 以 查看 bash 源 代码 。 


$ type test 
test is a shell builtin 


外 部 命令 


这 里 通过 which #2] /usr/bin 下 有 一 个 test 命令 文件 ， 在 键入 
test 时 ， 到 底 哪 一 个 被 执行 了 呢 ? 


$ which test 
/usr/bin/test 


执行 这 个 呢 ? 也 没什么 反应 ， 到 底 谁 先 被 执行 了 ? 


$ /usr/bin/test 


eae ees ? 如 果 输 入 一 个 命令 ， 这 个 命令 要 么 就 不 存在 ， 要 
能 同时 是 Shell 的 内 置 命令 、 也 有 可 能 是 磁盘 上 环境 变量 PATH 所 指定 
o 程序 文件 。 


考虑 到 test 内 置 命令 wut /usr/bin/test 命令 的 响应 结果 一 样 ， 我 们 无 法 

知道 哪 一 个 先 被 执行 了 ， 怎 么 办 呢 ?把 /usr/bin/test 替换 成 一 个 我 们 自 

己 的 命令 ， 并 让 i oe hello, world! )， 这 样 我 们 就 知道 到 

底 谁 被 执行 了 。 写 完 程序 ， 编 译 好 ， 命 名 为 test MB) /usr/bin F (iz 
备份 原来 那个 ) 。 开 始 测试 : 


键入 test ， 还 是 没有 效果 : 


$ test 
$ 


而 键入 绝对 路 径 呢 ， 则 打印 了 hello, world! 弃 ， 那 默认 情况 下 肯定 是 内 
置 命 命令 先 被 执行 了 : 


$ /usr/bin/test 
hello, world! 


由 上 述 实 验 结 果 可 见 ， 内 置 命令 比 磁盘 文件 中 的 程序 优先 被 bash 执行 。 原 
因应 该 是 内 置 命令 避免 了 不 必要 的 fork/execve 调用 ， 对 于 采用 类 似 算法 
实现 的 功能 ， 内 置 命令 理论 上 有 更 高 运行 效率 。 


下 面 看 看 更 多 有 趣 的 内 容 ， 键 盘 键入 的 命令 还 有 可 能 是 什么 呢 ? AA bash 
支持 别名 ( alias ) 和 函数 ( function ) ， 所 以 还 有 可 能 是 别名 和 函数 ， 
另外 ， 如 果 PATH 环境 变量 指定 的 不 同 目录 下 有 相同 名 字 的 程序 文件 ， 那 到 
底 哪 个 被 优先 找到 呢 ? 


下 面 再 作 一 些 实验 ， 
别名 


把 test 命名 为 ls -1 的 别名 ， 再 执行 test ， 竟 然 执 行 了 Is -1 ， 
说 明 别 名 ( alias ) AETA ( builtin ) 更 优先 : 


$ alias test="l1s -1" 

$ test 

total 9488 

drwxr-xr-x 12 falcon falcon 
3 

-rw-r--r-- 1 falcon falcon 
3.2.tar.gz 

e 函数 


定义 一 个 名 叫 test 的 函数 ， 执 行 一 下 ， 发 现 ， 还 是 执行 了 


function 没有 alias 优先 级 高 : 
$ function 
$ test 
total 9488 
drwxr-xr-x 

3.2 
-rw-r--r-- 


test { echo "hi, 


12 falcon falcon 


3.2.tar.gz 


把 别名 给 去 掉 ( unalias ) 


命令 也 要 高 : 


$ unalias test 
$ test 
hi, I'm a function 


如 果 在 命令 之 前 跟 上 builtin 


$ builtin test 


要 去 掉 某 个 函数 的 定义 ， 这 样 就 可 以 : 


$ unset test 


> 那么 将 直接 执行 内 


4096 2008-02-21 23:43 bash- 


2529838 2008-02-21 23:30 bash- 


ls -1 ， 说 明 


I'm a function"; } 


4096 2008-02-21 23:43 bash- 


1 falcon falcon 2529838 2008-02-21 23:30 bash- 


， 现在 执行 的 是 函数 ， 说 明 函 数 的 优先 级 比 内 置 


通过 这 个 实验 我 们 得 到 一 个 命令 的 别名 ( alias ) » BK ( function) ， 内 置 
命令 ( builtin ) 和 程序 ( program ) 的 执行 优先 次 序 : 


a=) 


ap 人 


Ze alias --> function --> builtin --> program % 
实际 上 ， type 命令 会 告诉 我 们 这 些 细节 ， type -a 会 按照 bash 解析 的 顺 


序 依次 打印 该 命 ee 型 ， 而 type -t 则 会 给 出 第 一 个 将 被 解析 的 命令 的 类 型 ， 
S me Fz 验 ， 是 为 了 让 大 家 加 印象 。 


$ type -a test 
test is a shell builtin 
test is /usr/bin/test 
$ alias test="l1s -1" 
$ function test { echo "I'm a function"; } 
$ type -a test 
test is aliased to ‘ls -1' 
test is a function 
test () 
{ 

echo "I'm a function" 
} 
test is a shell builtin 
test is /usr/bin/test 
$ type -t test 
alias 


下 面 再 看 看 PATH 指定 的 多 个 目录 下 有 同名 程序 的 情况 。 再 写 一 个 程序 ， 打 印 
hi, world! ， 以 示 和 hello, world! 的 区 别 ， 放 到 PATH 指定 的 另外 一 个 
目录 /bin 下 ， 为 了 保证 测试 的 说 服 力 ， 再 写 一 个 放 到 另外 一 个 叫 
/usr/local/sbin 的 目录 下 。 


AAA PATH 环境 变量 ， 确 保 它 有 /usr/bin ， /bin 和 /usr/local/sbin 
这 几 个 目录 ， 然 后 通过 type -P ( -P 参数 强制 到 PATH 下 查找 ， 而 不 管 是 别 
名 还 是 内 置 命令 等 ， 可 以 通过 help type 查看 该 参数 的 含义 ) 查看 ， 到 底 哪个 
先 被 执行 。 


$ echo $PATH 
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/us 
r/games 

$ type -P test 

/usr/local/sbin/test 


如 上 可 以 看 到 /usr/local/sbin 下 的 先 被 找到 。 


把 /usr/local/sbin/test 下 的 给 删除 掉 ， 现 在 /usr/bin 下 的 先 被 找到 : 


$ rm /usr/local/sbin/test 
$ type -P test 
/usr/bin/test 


type -a 也 显示 类 似 的 结果 : 


$ type -a test 

test is aliased to “ls -1' 
test is a function 

test () 


{ 


echo "I'm a function" 


} 


test is a shell builtin 
test is /usr/bin/test 
test is /bin/test 


， 可 以 找 出 这 么 一 个 规律 : Shell 从 PATH 列 出 的 路 径 中 依次 查找 用 户 输 入 
命令 。 考 虑 到 程序 的 优先 级 最 低 ， 如 果 想 优先 执行 磁盘 上 的 程序 文件 test 
a 就 可 以 用 test -P 找 出 这 个 文件 并 执行 就 可 以 了 。 


补充 : 对 于 Shell 的 内 置 命令 ， 可 以 通过 help command 的 方式 获得 帮助 ， 对 于 
程序 文件 ， 可 以 查看 用 户 手 册 (当然 ， 这 个 需要 安装 ， 一 般 叫 做 xxx-doc ) ， 


man command ° 


这 些 特殊 字符 是 如 何 解析 的 : |, >, <, & 


在 命令 行 上 ， 除 了 输入 各 种 命令 以 及 一 些 参 数 处 ， 比 如 上 面 type 命令 的 各 种 参 
数 -a ， -P 等 ， 对 于 这 些 参数 ， 是 传递 给 程序 本 身 的 ， 非 常 好 处 理 ， 比 如 if 
> else 条 件 分 支 或 者 switch > case 都 可 以 处 理 。 当 然 ， 在 bash BK 
可 能 使 用 专门 的 参数 处 理子 数 getopt 和 getopt_long 来 处 理 它们 。 


而 | ，> > <>? @ 等 字符 ， 则 比较 特别 ，Shell 是 怎么 处 理 它们 的 呢 ? È 
们 也 被 传递 给 程序 本 身 吗 ? 可 我 们 的 程序 内 部 一 般 都 不 处 理 这 些 字符 的 ， 所 以 应 该 
是 Shell 程序 自己 解析 了 它们 。 


先 来 看 看 这 几 个 字符 在 命令 行 的 常见 用 法 ， 


< 字符 表示 :把 test.c 文件 重 定向 为 标准 输入 ， 作 为 cat 命令 输入 ， 而 
cat 默认 输出 到 标准 输出 : 


$ cat < ./test.c 
#include <stdio.h> 


int main(void) 


{ 
printf("hi, myself!\n"); 
return 0; 


> 表示 把 标准 输出 重 定向 为 文件 test new.c ， 结 果 内 容 输出 到 


test_new.c 


$ cat < ./test.c > test_new.c 


BF > 9 < 9 o> ERJ- <> ANTARAZA EE ( redirect ) > 
Shell 到 底 是 怎么 进行 所 谓 的 “ 重 定向 "的 呢 ? 


这 主要 归功 于 dup/fentl 等 函数 ， 它 们 可 以 实现 : 复制 文件 描述 符 ， 让 多 个 文 
件 描述 符 共 享 同一 个 文件 表 项 。 比 如 ， 当 把 文件 test.c 重 定向 为 标准 输入 时 。 
假设 之 前 用 以 打开 test.c 的 文件 描述 符 是 5， 现 在 就 把 5 复制 为 了 0 ， 这 样 当 
cat 试图 从 标准 输入 读 出 内 容 时 ， 也 就 访问 了 文件 描述 符 5 指向 的 文件 表 项 ， 接 
着 读 出 了 文件 内 容 。 输 出 重 定向 与 此 类 似 。 其 他 的 重 定 向 ;诸如 >> ， << > 
<> 等 虽然 和 > ， < 的 具体 实现 功能 不 太一 样 ， 但 本 质 是 一 样 的 ， 都 是 文件 


描述 符 的 复制 ， 只 不 过 可 能 对 文件 操作 有 一 些 附加 的 限制 ， 比 如 >> a TB 
加 到 文件 末尾 ， 而 > 则 会 从 头 开始 写 入 文件 ， 前 者 意味 着 文件 的 大 小 会 增长 ;而 
后 者 则 意味 文件 被 重 写 


那么 | 呢 ? | 被 形象 地 称 为 "管道 "， 实际 上 它 就 是 通过 C 语言 里 头 的 无 名 管道 
来 实现 的 。 先 看 一 个 例子 ， 


$ cat < ./test.c | grep hi 
printf("hi, myself!\n"); 


在 这 个 例子 中 ， cat 读 出 了 test.c 文件 中 的 内 容 ， 并 输出 到 标准 输出 上 ， 但 
是 实际 上 输出 的 内 容 却 只 有 一 行 ， 原 因 是 这 个 标准 输出 被 “ 接 到 ”了 grep 命令 的 
标准 输入 上 ， 而 grep 命令 只 打印 了 包含 “hj 字符 串 的 一 行 。 


这 是 怎么 被 * 接 "上 的 。 cat 和 grep 作为 两 个 单独 的 命令 ， 它 们 本 身 没 有 办 法 
把 两 者 的 输入 和 输出 “ 接 " 起 来 。 这 正 是 Shell 自己 的 “杰作 ”， 它 通过 C 语言 里 头 的 
pipe 函数 创建 了 一 个 管道 (一 个 包含 两 个 文件 描述 符 的 整形 数组 ， 一 个 描述 符 
用 于 写 入 数据 ， 一 个 描述 符 用 于 读 入 数据 ) ， 并 且 通 过 dup/fentl 把 cat 的 
输出 复制 到 了 管道 的 输入 ， 而 把 管道 的 输出 则 复制 到 了 grep HMA c RHC 
个 奇妙 的 想法 。 


AB & 呢 ? 当 你 在 程序 的 最 后 跟 上 这 个 奇妙 的 字符 以 后 就 可 以 接着 做 其 他 事情 了 
看 看 效果 : 


$ sleep 50 & # 让 程序 在 后 台 运 行 
[1] 8261 


oo a 到 前 台 运 行 ， 无 法 输入 东西 了 ， 按 下 
CTRL+Z  ， 再 让 程序 到 后 台 运 


$ fg %1 
sleep 50 


[1]+ Stopped sleep 50 


实际 上 & Le Shell 支持 作业 控制 的 表征 ， 通 过 作业 控制 ， 用 户 在 命令 行 上 
e sid I a 或 者 bg ) 


并 且 可 以 自由 地 选择 当前 需要 执行 哪 一 个 (用 fg 调 到 前 台 ) 。 这 在 实现 时 应 该 
涉及 到 很 多 东西 ， ae 话 ( session ) » #3 ae 前 台 进 程 、 后 台 进 程 
等 。 而 在 命令 的 后 面 加 上 &@ 后 ， 该 命令 将 被 作为 后 台 进 程 执行 ， 后 台 进 程 是 什么 


呢 ? 这 类 进程 无 法 接收 用 户 发 送 给 终端 的 信号 (如 SIGHUP ， SIGQUIT 
> SIGINT ) ， 无 法 响应 键盘 输入 (被 前 人 台 进 程 占用 着 ) ， 不 过 可 以 通过 fg w 
换 到 前 台 而 享受 作为 前 台 进 程 具有 的 特权 。 


因此 ， 当 一 个 命令 被 加 上 & 执行 后 ，Shell 必须 让 它 具 有 后 台 进 程 的 特征 ， 让 它 
无 法 响应 键盘 的 输入 ， 无 法 响应 终端 的 信号 (意味 忽略 这 些 信号 ) ， 并 且 比较 重要 
的 是 新 的 命令 提示 符 得 打印 出 来 ， 并 且 让 命令 行 接口 可 以 继续 执行 其 他 命令 ， 这 些 
就 是 Shell 对 & 的 执行 动作 。 


还 有 什么 神秘 的 呢 ? 你 也 可 以 写 自己 的 Shell 了 ， 并 且 可 以 让 内 核 启 动 后 就 执行 它 
1 ， 在 lilo 或 者 grub 的 启动 参数 上 设置 
init=/path/to/your/own/shell/program 就 可 以 。 当 然 ， 也 可 以 把 它 作 为 自 
己 的 登录 Shell ， 只 需要 放 到 IERES 文件 中 相应 用 户 名 所 在 行 的 最 后 就 可 
以 。 不 过 貌似 到 现在 还 没 介绍 Shell 是 怎么 执行 程序 ， 是 怎样 让 程序 变 成 进程 的 ， 
所 以 继续 。 


/bin/bash 用 什么 魔法 让 一 个 普通 程序 变 成 了 进程 


当 我 们 从 键盘 键入 一 串 命令 ，Shell 奇妙 地 响应 了 ， 对 于 内 置 命 令 和 有 函数，Shel| A 
身 就 可 以 解析 了 (通过 switch > case 之 类 的 C 语言 语句 ) 9 [2H > wR 
个 命令 是 磁 瘟 上 的 一 个 文件 呢 。 它 找到 该 文件 以 后 ， 怎 么 执行 它 的 呢 ? 


还 是 用 strace 来 跟踪 一 个 命令 的 执行 过 程 看 看 。 


$ strace -f -o strace.log /usr/bin/test 

hello, world! 

$ cat strace.log | sed -ne "1p"  # 我 们 对 第 一 行 很 感 兴 趣 

8445 execve("/usr/bin/test", ["/usr/bin/test"], [/* 33 vars */] 
) = 0 


从 跟踪 到 的 结果 的 第 一 行 可 以 看 到 bash 通过 execve 调用 了 
/usr/bin/test ， 并 且 给 它 传 了 33 个 参数 。 这 33 个 vars 是 什么 呢 ? 看 看 
declare -x 的 结果 (这 个 结果 只 有 32 个， 原因 是 vars 的 最 后 一 个 变量 需要 
是 一 个 结束 标志 ， 即 NULL ) 。 


$ declare -x | wc -1  #declare -x 声明 的 环境 变量 将 被 导出 到 子 进 程 中 
32 

$ export TEST="just a test"  # 为 了 认证 declare -x 和 之 前 的 vars 的 个 数 
的 关系 ， 再 加 一 个 

$ declare -x | wc -1 

33 

$ strace -f -o strace.log /usr/bin/test  # 再 次 跟踪 ， 看 看 这 个 关系 
hello, world! 

$ cat strace.log | sed -ne "ip" 

8523 execve("/usr/bin/test", ["/usr/bin/test"], [/* 34 vars */] 
) = 0 


通过 这 个 演示 发 现 ， 当 前 Shell 的 环境 变量 中 被 设置 为 export 的 变量 被 复制 到 
了 新 的 程序 里 头 。 不 过 虽然 我 们 认为 Shell 执行 新 程序 时 是 在 一 个 新 的 进程 里 头 执 
行 的 ， 但 是 strace 并 没有 跟踪 到 诸如 fork 的 系统 调用 (可 能 是 strace A 
己 设计 的 时 候 并 没有 跟踪 fork ， 或 者 是 在 fork 之 后 才 跟 踪 ) 。 但 是 有 一 个 
事实 我 们 不 得 不 承认 : 当前 Shell 并 没有 被 新 程序 的 进程 替换 ， 所 以 说 Shell 肯定 
是 先 调用 fork (也 有 可 能 是 vfork ) 创建 了 一 个 子 进 程 ， 然 后 再 调用 
execve 执行 新 程序 的 。 如 果 你 还 不 相信 ， 那 么 直接 通过 exec 执行 新 程序 看 
看 ， 这 个 可 是 直接 把 当前 Shell 的 进程 替换 掉 的 。 


exec /usr/bin/test 


该 可 以 看 到 当前 Shell ““#” (ATE > RART HL) 的 一 下 就 没有 了 。 


下 面 来 模拟 一 下 Shell 执行 普通 程 。 multiprocess 相当 于 当前 Shell ， 而 
/usr/bin/test 则 相 ao 过 命令 行 传递 给 Shell 的 一 个 程序 。 这 里 是 代码 : 


/* multiprocess.c */ 

#include <stdio.h> 

#include <sys/types.h> 

#include <unistd.h> /* sleep, fork, _exit */ 


int main() 


{ 
int child; 
int status; 
if( (child = fork()) == 0) { J NO y 
printf("child: my pid is %d\n", getpid()); 
printf ("child: my parent's pid is %d\n", getppid()); 
execlp("/usr/bin/test","/usr/bin/test",(char *)NULL);; 
} else if(child < 0){ /* error */ 
printf ("create child process error!\n"); 
_exit(0); 
} /* paren 
E 7 
printf("parent: my pid is %d\n", getpid()); 
if ( wait(&status) == child ) { 
printf("parent: wait for my child exit successfully!\n") 
} 
} 
行 看 看 ， 


$ make multiprocess 

$ ./multiprocess 

child: my pid is 2251 

child: my parent's pid is 2250 

hello, world! 

parent: my pid is 2250 

parent: wait for my child exit successfully! 


从 执行 结果 可 以 看 出 ， /usr/bin/test 在 multiprocess 的 子 进 程 中 运行 并 不 


干扰 父 进 程 ， 因 为 父 进程 一 直 等 到 了 /usr/bin/test 执行 完成 。 


再 回头 看 看 代码 ， 你 会 发 现 execlp Tea eee 息 给 
/usr/bin/test ， 到 底 是 怎么 把 环境 变量 传送 过 去 的 呢 ? 通过 man exec 我 们 
可 以 看 到 一 组 exec 的 调用 ， 在 里 头 并 没有 发 现 execve ， 但 是 通过 man 
execve 可 以 看 到 该 系统 调用 。 实 际 上 exec 的 那 一 组 调用 都 只 是 libe FR 
供 的 ， 而 execve 才 是 丨 正 的 系统 调用 ， 也 就 是 说 无 论 使 用 exec 调用 中 的 哪 
一 个 ， 最 终 调用 的 都 是 execve ， 如 果 使 用 execlp ° ®A execlp 将 通过 
一 定 的 处 理 把 参数 转换 为 ”execve 的 参数 。 因 此 ， 虽 然 我 们 没有 传递 任何 环境 变 
量 给 execlp ， 但 是 默认 情况 下 ， execlp 把 父 进 程 的 环境 变量 复制 给 了 子 进 
程 ， 而 这 个 动作 是 在 execlp 函数 内 部 完成 的 。 


现在 ， 总 结 一 下 execve ， 它 有 有 三 个 参数 ， 


- 第 一 个 是 程序 本 身 的 绝对 路 径 ， 对 于 刚才 使 用 的 execlp ， 我 们 没有 指定 路 
径 ， 这 意味 着 它 会 设法 到 PATH 环境 变量 指定 的 路 径 下 去 寻找 程序 的 全 路 径 。 

第 二 个 参数 是 一 个 将 传递 给 被 它 执行 的 程序 的 参数 数组 指针 。 正 是 这 个 参数 把 
我 们 从 命令 行 上 输入 的 那些 参数 ， 诸 如 grep 命令 的 -v 等 传递 给 了 新 程序 ， 


可 以 通过 main 函数 的 第 二 个 参数 char ana 获得 这 些 内 容 。 - 第 三 个 
参数 是 一 个 将 传递 给 被 它 执行 的 程序 的 环境 变量 ， 这 些 环境 变量 也 可 以 通过 

main 函数 的 第 三 个 变量 获取 ， 只 要 定义 一 个 char env[] 就 可 以 了 ， 只 是 通 
常 不 直接 用 它 罢 了， 而 是 通过 另外 的 方式 ， 通 过 extern char ** environ 全 
局 变量 (环境 变量 表 的 指针 ) 或 者 getenv 函数 来 获取 某 个 环境 变量 的 值 。 
当然 ， 实 际 上 ， 当 程序 被 execve 执行 后 ， 它 被 加 载 到 了 内 存 里 ， pie Fe a & 
种 指令 、 数 据 以 及 传递 给 它 的 各 种 参数 、 环 境 变量 等 都 被 存放 在 系统 分 配给 该 程序 


的 内 存 空间 中 。 


我 们 可 以 通过 /proc/<pid>/maps 把 一 个 程序 对 应 的 进程 的 内 存 映 象 看 个 大 概 。 


$ cat /proc/self/maps  # 查 看 cat 程 序 自身 加 载 后 对 应 进程 的 内 存 映 像 


08048000-0804c000 r-xp 00000000 03:01 273716 /bin/cat 
0804c000-0804d000 rw-p 00003000 03:01 273716 /bin/cat 
0804d000-0806e000 rw-p 0804d000 00:00 0 [heap ] 
b7c46000-b7e46000 r--p 00000000 03:01 87528 /usr/lib/locale 


/locale-archive 
b7e46000-b7e47000 rw-p b7e46000 00:00 0 


b7e47000-b7F83000 r-xp 00000000 03:01 466875 /lib/libc-2.5.s 
o 

b7f83000-b7f84000 r--p 0013c000 03:01 466875 /lib/libc-2.5.s 
o 

b7f84000-b7f86000 rw-p 0013d000 03:01 466875 /lib/libc-2.5.s 
o 

b7f86000-b7f8a000 rw-p b7f86000 00:00 0 

b7fa1000-b7fbc000 r-xp 00000000 03:01 402817 /lib/ld-2.5.s0 
b7fbc000-b7fbe000 rw-p 0001b000 03:01 402817 /lib/1d-2.5.so0 
bfcdf000-bfcf4000 rw-p bfcdf000 00:00 0 [stack] 
ffffe0900-fffff000 r-xp 00000000 00:00 0 [vdso] 


关于 程序 加 载 和 进程 内 存 映像 的 更 多 细节 请 参考 《C 语言 程序 缓冲 区 注入 分 析 》。 
到 这 里 ， 关 于 命令 行 的 秘密 都 被 曝光" 了， 可 以 开始 写 自己 的 命令 行 解释 程序 了 。 
关于 进程 的 相关 操作 请 参考 《进程 与 进程 的 基本 操作 》。 


补充 : 上 面 没有 讨论 到 一 个 比较 重要 的 内 容 ， 那 就 是 即使 execve 找到 了 某 个 可 
执行 文件 ， 如 果 该 文件 属 n 行 该 程序 的 权限 ， 那 么 也 没有 办 法 运行 程序 。 可 
通过 ls -1 查看 程序 的 权限 ， 通 过 chmod 添加 或 者 去 掉 可 执行 权限 。 


文件 属 主 具 有 可 执行 权限 时 才 可 以 执行 某 个 程序 : 


$ whoami 

falcon 

$ ls -1 hello # 查 看 用 户 权限 (第 一 个 x 表 示 属 主 对 该 程序 具有 可 执行 权限 
-rwxr-xr-x 1 falcon users 6383 2000-01-23 07:59 hello* 
$ ./hello 

Hello World 

$ chmod -x hello # 去 掉 属 主 的 可 执行 权限 

$ ls -1 hello 

-rw-r--r-- 1 falcon users 6383 2000-01-23 07:59 hello 
$ ./hello 

-bash: ./hello: Permission denied 


参考 资料 


e Linux 启动 过 程 : man boot-scripts 
e Linux 内 核 启 动 参数 : man bootparam 
e man 5 passwd 

e man shadow 
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Linux 支持 动态 链接 库 ， 不 仅 节 省 了 磁盘 、 内 存 空间 ， 而 且 可 以 提高 程序 运行 效 
举 。 DEA et iN PO AA? 问题 ， es 升级 更 
新 和 潜在 的 安全 威胁 [1], [2] 。 a ng ， 即 程序 在 执行 过 
程 中 ， 对 其 中 包含 的 一 些 未 确定 地 址 的 符号 进行 重 定位 的 过 程 [1], [2] © 


本 篇 主要 参考 资料 [3] 和 [8]， 前 者 侧重 实践 ， 后 者 侧重 原理 ， 把 两 者 结合 起 来 就 方便 
理解 程序 的 动态 链接 过 程 了 。 另 外 ， 动 态 链 接 库 的 创建 、 使 用 以 及 调用 动态 链接 库 
的 部 分 参考 了 资料 [1], [2] ° 


下 面 先 来 看 看 几 个 基本 概念 ， 接 着 就 介绍 动态 链接 库 的 创建 、 隐 式 和 显示 调用 ， 最 
后 介绍 符号 的 动态 链接 细节 。 


ELF 


ELF Æ Linux 支持 的 一 种 程序 文件 格式 ， 本 身 包 含 重 定位 、 执 行 、 共 享 (动态 链 
接 库 ) 三 种 类 型 ( man elf ) 。 


代码 : 


/est 
#include <stdio.h> 


int global = 0; 


int main() 


i char local = 'A'; 
printf("local = %c, global = %d\n", local, global); 
return 0; 
} 
演示 
通过 -Cc 生成 可 重 定位 文件 test.0 ， 这 里 不 会 进行 链接 : 


$ gcc -c test.c 
$ file test.o 


test.o: ELF 32-bit LSB relocatable, Intel 80386, version 1 (SYSV 
), not stripped 


链接 后 才 可 以 执行 : 


$ gcc -o test test.o 

$ file test 

test: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), 
dynamically linked (uses shared libs), not stripped 


也 可 链接 成 动态 链接 库 ， 不 过 一 般 不 会 把 main HAREA A REIRE o BOA 
介绍 : 
$ gcc -fpic -shared -W1, -soname, libtest.so.0 -o libtest.so.0.0 t 
est.o 
$ file libtest.so.0.0 
libtest.so.0.0: ELF 32-bit LSB shared object, Intel 80386, versi 
on 1 (SYSV), not stripped 


虽然 ELE 文件 本 身 就 支持 三 种 不 同 的 类 型 ， 不 过 它 有 一 个 统一 的 结构 。 这 个 结构 


文件 头 部 (ELF Header ) 

程序 头 部 表 (Program Header Table) 
¥ R1(Section1) 

节 区 2(Section2) 

节 区 3(Section3) 


节 区 头 部 表 (Section Header Table) 


无 论 是 文件 头 部 、 程 序 头 部 表 、 节 区 头 部 表 ， 还 是 节 区 ， 它 们 都 对 应 着 C 语言 里 头 
的 一 些 结构 体 〈( elf.h 中 定义 )。 文 件 头 部 主要 描述 ELF 文件 的 类 型 ， 大 小 ， 
运行 平台 ， 以 及 和 程序 头 部 表 和 节 区 头 部 表 相 关 的 信息 。 节 区 头 部 表 则 用 于 可 重 定 
位 文件 ， 以 便 描 述 各 个 节 区 的 信息 ， 这 些 信息 包括 节 区 的 名 字 、 类 型 、 大 小 等 。 程 
序 头 部 表 则 用 于 描述 可 执行 文件 或 者 动态 链接 库 ， 以 便 系 统 加 载 和 执行 它们 。 而 节 
区 主要 存放 各 种 特定 类 型 的 信息 ， 比 如 程序 的 正文 区 (代码) 、 数 据 区 (初始 化 和 
未 初始 化 的 数据 ) 、 调 试 信 息 、 以 及 用 于 动态 链接 的 一 些 节 区 ， 比 如 解释 器 

( .interp ) 节 区 将 指定 程序 动态 装载 / 链接 器 ld-linux.so 的 位 置 ， 而 
过 程 链接 表 ( plt ) 、 全 局 偏 移 表 〈 got ) 、 重 定位 表 则 用 于 辅助 动态 链接 过 
程 。 


S 


符号 


对 于 可 执行 文件 除了 编译 器 引入 的 一 些 符号 外 ， 主 要 就 是 用 户 自 定义 的 全 局 变量 ， 
函数 等 ， 而 对 于 可 重 定位 文件 仅仅 包含 用 户 自 定义 的 一 些 符号 。 


o 生成 可 重 定位 文件 


$ gee c teste 
$ nm test.o 
00000000 B global 
00000000 T main 

U printf 


、 自 定义 函数 以 及 动态 链接 库 中 的 函数 ， 但 不 包含 局 部 变 
个 符号 的 地 址 都 没有 确定 。 
注 : nm 命令 可 用 来 查看 ELF 文件 的 符号 表 信息 。 


o 生成 可 执行 文件 


$ gcc -o test test.o 
$ nm test | egrep "main$| printf|global$" 
080495a0 B global 
08048354 T main 
U printf@@GLIBC_2.0 


经 链接 ， `global` f `main` 的 地 址 都 已 经 确定 了 ， 但 是 “printf`” 却 还 没 ， 
为 它 是 动态 链接 库 “g1ibc、 中 定义 函数 ， 需 要 动态 链接 ， 而 不 是 这 里 的 “静态 "链接 。 


重 定位 : 是 将 符号 引用 与 符号 定义 进行 链接 的 过 


从 上 面 的 演示 可 以 看 出 ， 重 定位 文件 test.o 中 的 符号 地 址 都 是 没有 确定 的 ， 而 
经 过 静态 链接 ( gcc 默认 调用 ld 进行 链接 ) 以 后 有 两 个 符号 地 址 已 经 确定 

了 ， 这 样 一 个 确定 符号 地 址 的 过 程 实际 上 就 是 链接 的 实质 。 链 接 过 aches! 
用 变 成 了 对 地 址 (定义 符号 时 确定 该 地 址 ) 的 引用 ， 这 样 程序 运行 时 就 可 通过 访问 
内 存 地 址 而 访问 特定 的 数据 。 


我 们 也 注意 到 符号 printf 在 可 重 定位 文件 和 可 执行 文件 中 的 地 址 都 没有 确定 ， 
这 意味 着 该 符号 是 一 个 外 部 符号 ， 可 能 定义 在 动态 链接 库 中 ， 在 程序 运行 时 需要 通 
过 动态 链接 器 ( 1d-1inux.so ) 进行 重 定 位 ， 即 动态 链接 。 


通过 这 个 演示 可 以 看 出 printf 确实 在 glibc 中 有 定义 。 


$ nm -D /Lib/ uname -m -linux-gnu/libc.so.6 | grep "\ printf$" 
0000000000053840 T printf 


除了 nm 以 外 ， 还 可 以 用 readelf -s 查看 .dynsym 表 或 者 用 objdump - 


需要 提 到 的 是 ， 用 nm 命令 不 带 -D 参数 的 话 ， 在 较 新 的 系统 上 已 经 没有 办 法 查 

看 libc.so 的 符号 表 了 ， 因 为 nm 默认 打印 常规 符号 表 (在 .symtab 和 
.Strtab PRY) ， 但 是 ， 在 打包 时 为 了 减少 系统 大 小 ， 这 些 符号 已 经 被 

掉 了 ， 只 保留 了 动态 符号 (在 .dynsym 和 .dynstr 中 ) 以 便 动 态 链 
接 器 在 执行 程序 时 寻 址 这 些 外 部 用 到 的 符号 。 而 常规 符号 除了 动态 符号 以 外 ， 还 包 

含有 一 些 静 态 符号 ， 比 如 说 本 地 函数 ， 这 个 信息 主要 是 调试 器 会 用 ， 对 于 正常 部 署 

的 系统 ， 一 般 会 用 strip 工具 删除 掉 。 


关于 nm 与 readelf -s 的 详细 比较 ， 可 参考 : nm vs “readelf-s” ° 


动态 链接 
动态 链接 就 是 在 程序 运行 时 对 符号 进行 重 定 位 ， 确 定 符号 对 应 的 内 存 地 址 的 过 程 。 


Linux 下 符号 的 动态 链接 默认 采用 Lazy Mode 方 式 ， 也 就 是 说 在 程序 运行 过 程 中 用 
到 该 符号 时 才 去 解析 它 的 地 址 。 这 样 一 种 符号 解析 方式 有 一 个 好 处 : 只 解析 那些 用 
到 的 符号 ， 而 对 那些 不 用 的 符号 则 永远 不 用 解析 ， 从 而 提高 程序 的 执行 效率 。 


不 过 这 种 默认 是 可 以 通过 设置 LD_BIND_NOW 为 非 空 来 打破 的 (下 面 会 通过 实例 
来 分 析 这 个 变量 的 作用 ) ， 也 就 是 说 如 果 设 置 了 这 个 变量 ， 动 态 链 接 器 将 在 程序 加 
载 后 和 符号 被 使 用 之 前 就 对 这 些 符 号 的 地 址 进行 解析 。 


动态 链接 库 


上 面 提 到 重 定位 的 过 程 就 是 对 符号 引用 和 符号 地 址 进行 链接 的 过 程 ， 而 动态 链接 过 
各 涉及 到 的 符号 引用 和 符号 定义 分 别 对 应 可 扩 行 文件 和 动态 链接 库 ， 在 可 执行 文件 
中 可 能 引用 了 某 些 动态 链接 库 中 定义 的 符号 ， 这 类 符号 通常 是 函数 。 


e000 
执行 文件 当中 ， 这 些 信息 是 什么 呢 


$ readelf -d test | grep NEEDED 


0x00000001 (NEEDED) Shared library: [libc.s 
0.6] 


ELF 文件 有 一 个 特别 的 节 区 : dynamic ， 它 存放 了 和 动态 链接 相关 的 很 多 信 
息 ， 例 如 动态 链接 器 通过 它 找到 该 文件 使 用 的 动态 链接 库 。 不 过 ， 该 信息 并 未 包含 
动态 链接 库 libc,so.6 的 绝对 路 径 ， 那 动态 链接 器 去 哪里 查找 相应 的 库 呢 ? 


通过 LD_LIBRARY_PATH on 它 类 似 Shell 解释 器 中 用 于 查找 可 执行 文件 的 
PATH 环境 变量 ， 也 是 通过 冒号 分 开 指 定 了 各 个 存放 库 函 数 的 路 径 。 该 变量 实际 
上 也 可 以 通过 /etc/1d.so.conf 文件 来 指定 ， 一 行 对 应 一 个 路 径 名 。 为 了 提高 
查找 和 加 载 动态 链接 库 的 效率 ， 系 统 局 动 后 会 通过 ”ldconfig 工具 创建 一 个 库 的 
缓存 /etc/ld.so.cache 。 如 果 用 户 通 过 /etc/ld.so.conf 加 入 了 新 的 库 搜 
索 路 径 或 者 是 把 新 库 加 到 某 个 原 有 的 库 目 录 下 ， 最 好 是 执行 一 下 ldconfig 以 便 
刷新 缓存 。 


ee 
符号 链接 过 程 可 能 涉及 到 多 个 库 ， 通 过 readelf -d 可 以 打印 出 该 文件 直接 
mi ae ， 而 通过 ldd 命令 则 可 以 打印 出 所 有 依赖 或 者 间接 依赖 的 库 。 


$ ldd test 
linux-gate.so.1 => (0xffffe000 ) 
libc.so.6 => /lib/libc.so.6 (0xb7da2000 ) 
/lib/l1ld-linux.so.2 (0xb7efc000 ) 


libc.so.6 通过 readelf -d 就 可 以 看 到 的 ， 是 直接 依赖 的 库 ; 而 linux- 
gate.so.1 在 文件 系统 中 并 没有 对 应 的 库 文件 ， 它 是 一 个 虚拟 的 动态 链接 库 ， 对 
应 进程 内 存 映像 的 内 核 部 分 ， 更 多 细节 请 参考 资料 [11]; 而 /lib/ld-linux.so.2 
正好 是 动态 链接 器 ， 系 统 需要 用 它 来 进行 符号 重 定位 。 那 1dd 是 怎么 知道 
/lib/ld-linux.so 就 是 该 文件 的 动态 链接 器 呢 ? 


那 是 因为 ELF 文件 通过 专门 的 节 区 指定 了 动态 链接 器 ， 这 个 节 区 就 是 interp 


o 


$ readelf -x .interp test 


Hex dump of section '.interp': 
0x08048114 2f6c6962 2f6c642d 6c696e75 782e736f /lib/ld-linux.s 


0x08048124 2e3200 eee 


可 以 看 到 这 个 节 区 刚好 有 字符 串 /lib/ld-linux.so.2 °> PP ld-linux.so 的 
绝对 路 径 。 


我 们 发 现 ， 与 libc.so 不 同 的 是 ， 1d-1Linux.so 的 路 径 是 绝对 路 径 ， 而 
libc.so 仅仅 包含 了 文件 名 。 原 因 是 : 程序 被 执行 时 ， Id-linux.so 将 最 先 被 
装载 到 内 存 中 ， 没 有 其 他 程序 知道 去 哪里 查找 1d-linux.so ， 所 以 它 的 路 径 必 须 
是 绝对 的 ; 当 1d-linux.so 被 装载 以 后 ， 由 它 来 去 装载 可 执行 文件 和 相关 的 共 
享 库 ， 它 将 根据 PATH 变量 和 LD_LIBRARY_PATH RPAKHBALEREH > Ast 
可 执行 文件 和 共享 库 都 可 以 不 指定 绝对 路 径 。 


下 面 着 重 介绍 动态 链接 器 本 身 。 


动态 链接 器 (dynamic linker/loader ) 


Linux F elf 文件 的 动态 链接 器 是 1d-linux.so ， 即 /lib/1d-linux.so.2 

。 从 名 字 来 看 和 静态 链接 器 ld ( gcc 默认 使 用 的 链接 器 ， 见 参考 资料 [10]) 类 
似 。 通 过 man ld-linux 可 以 获取 与 动态 链接 器 相关 的 资料 ， 包 括 各 种 相关 的 环 
境 变 量 和 文件 都 有 详细 的 说 明 。 


对 于 环境 变量 ， 除 了 上 面 提 到 过 的 LD_LIBRARY_PATH 和 LD_BIND_NOW 变量 
外 ， 还 有 其 他 几 个 重要 参数 ， 上 比如 LD_PRELOAD 用 于 指定 预 装 载 一 些 库 ， 以 便 替 

换 其 他 库 中 的 函数 ， 从 而 做 一 些 安全 方面 的 处 理 [6] > [9] [12] > MAES 
LD_DEBUG 可 以 用 来 进行 动态 链接 的 相关 调试 。 


对 于 文件 ， 除 了 上 面 提 到 的 1d.so.conf 和 1d.so.cache 外 ， 还 有 一 个 文件 
/etc/ld.so.preload 用 于 指定 需要 预 装载 的 库 。 


从 上 一 小 节 中 发 现 有 一 个 专门 的 节 区 interp 存放 有 动态 链接 器 ， 但 是 这 个 节 区 
为 什么 叫做 ,interp ( interpeter ) 呢 ? 因 为 当 Shell 解释 器 或 者 其 他 父 进 程 
通过 exec 局 动 我 们 的 程序 时 ， 系 统 会 先 为 |d-linuX 创建 内 存 映 像 ， 然 后 把 控制 权 交 

& Id-linux ， 之 后 Id-linux 负责 为 可 执行 程序 提供 运行 环境 ， 负 责 解 释 程 序 的 运行 ， 因 
此 Id-linux 也 叫做 dynamic loader (或 intepreter ) (关于 程序 的 加 载 过 程 请 参 
考 资料 [13]) 


那么 在 exec () 之 后 和 程序 指令 运行 之 前 的 过 程 是 怎样 的 呢 ? ld-linux.so 
主要 为 程序 本 身 创 建 了 内 存 映 像 〈 以 下 内 容 摘 自 资 料 [8]) ， 大 体 过 程 如 下 


o 将 可 执行 文件 的 内 存 段 添加 到 进程 映像 中 ; 

o 把 共享 目标 内 存 段 添加 到 进程 映像 中 ; 

。 为 可 执行 文件 和 它 的 共享 目标 (动态 链接 库 ) 执行 重 定位 操作 ; 

© 关闭 用 来 读 入 可 执行 文件 的 文件 描述 符 ， 如 果 动 态 链接 程序 收 到 过 这 样 的 文件 
描述 符 的 话 ; 

o 将 控制 转交 给 程序 ， 使 得 程序 好 像 从 exec() 直接 得 到 控制 


关于 第 1 步 ， 在 ELF 文件 的 文件 头 中 就 指定 了 该 文件 的 入 口 地 址 ， 程 序 的 代码 和 
数据 部 分 会 相继 map 到 对 应 的 内 存 中 。 而 关于 可 执行 文件 本 身 的 路 径 ， 如 果 指 定 
了 PATH 环境 变量 ， 1d-lLinux 会 到 PATH 指定 的 相关 目录 下 查找 。 


$ readelf -h test | grep Entry 
Entry point address: 0x80482b0 


对 于 第 2 步 ， 上 一 节 提 到 的 .dynamic 节 区 指定 了 可 执行 文件 依赖 的 库 名 ， ld- 
linux (在 这 里 叫做 动态 装载 器 或 程序 解释 器 比较 合适 ) 再 从 

LD_LIBRARY_PATH 指定 的 路 径 中 找到 相关 的 库 文件 或 者 直接 从 
/etc/ld.so.cache 库 缓冲 中 加 载 相关 库 到 内 存 中 。 (关于 进程 的 内 存 映 像 ， 推 
荐 参考 资料 [14]) 


对 于 第 3 步 ， 在 前 面 已 提 到 ， 如 果 设 置 了 LD BIND NOW 环境 变量 ， 这 个 动作 就 
会 在 此 时 发 生 ， 否 则 将 会 采用 lazy mode 方式 ， 即 当 某 个 符号 被 使 用 时 才 会 进 
行 符号 的 重 定位 。 不 过 无 论 在 什么 时 候 发 生 这 个 动作 ， ae + 程 大 体 是 一 样 的 
(在 后 面 将 主要 介绍 该 过 程 ) © 

对 于 第 4 步 ， 这 个 主要 是 释放 文件 描述 符 。 


对 于 第 5 步 ， 动 态 链接 器 把 程序 控制 权 交 还 给 程序 。 


现在 关心 的 主要 是 第 3 步 ， 即 如 何 进 行 符 号 的 重 定位 ?下 面 来 探求 这 个 过 程 。 期 间 
会 逐步 讨论 到 和 动态 链接 密切 相关 的 三 个 数据 结构 ， 它 们 分 别 是 ELF 文件 的 过 程 
链接 表 、 全 局 偏 移 表 和 重 定位 表 ， 这 三 个 表 都 是 ELF 文件 的 节 区 。 


过 程 链接 表 (plt) 


从 上 面 的 演示 发 现 ， 还 有 一 个 printf 符号 的 地 址 没有 确定 ， 它 应 该 在 动态 链接 
Je 1ibc.so 中 定义 ， 需 要 进行 动态 链接 。 这 里 假设 采用 lazy mode 方式 ， 即 
执行 到 printf 所 在 位 置 时 才 去 解析 该 符号 的 地 址 。 


假设 当前 已 经 执行 到 了 printf 所 在 位 置 ， 即 call printf ， 我 们 通过 
objdump 反 编 译 test 程序 的 正文 段 看 看 。 


$ objdump -d -s -j .text test | grep printf 
804837Cc: Coeds Siete th ies ier call 80482a0 <printf@p 
1t> 


发 现 ， 该 地 址 指向 了 pit ( 即 过 程 链接 表 ) 即 地 址 8048200 处 。 下 面 查看 该 
地 址 处 的 内 容 。 


$ objdump -D test | grep "80482a0" | grep -v call 
080482a0 <printf@plt>: 
80482a0: ff 25 8c 95 04 08 jmp *0x804958c 


发 现 80482a0 地 址 对 应 的 是 一 条 跳 转 指令 ， 跳 转 到 0x804958c 地 址 指向 的 地 
址 。 到 底 60x804958c 地 址 本 身 在 什么 地 方 呢 ?我们 能 否 从 dynamic FR (该 
节 区 存放 了 和 动态 链接 相关 的 数据 ) 获取 相关 的 信息 呢 ? 


$ readelf -d test 


Dynamic section at offset Ox4ac contains 20 entries: 


Tag Type Name/Value 
0x00000001 (NEEDED) Shared library: [libc.s 
0.6] 

0x0000000c (INIT) 0x8048258 
Ox0000000d (FINI) 0x8048454 
0x00000004 (HASH) 0x8048148 
Ox00000005 (STRTAB) 0x80481c0 
Ox00000006 (SYMTAB) 0x8048170 
0x0000000a (STRSZ) 76 (bytes) 
0x0000000b (SYMENT) 16 (bytes) 
0x00000015 (DEBUG) 0x0 
0x00000003 (PLTGOT) 0x8049578 
0x00000002 (PLTRELSZ) 24 (bytes) 
0x00000014 (PLTREL) REL 
0x00000017 (JMPREL) 0x8048240 
0x00000011 (REL) 0x8048238 
0x00000012 (RELSZ) 8 (bytes) 
0x00000013 (RELENT) 8 (bytes) 
ox6ffffffe (VERNEED) 0x8048218 
Ox6fffffff (VERNEEDNUM) 1 
Ox6ffffffoO (VERSYM) 0x804820c 
0x00000000 (NULL) 0x0 


发 现 0x8049578 地 址 和 0x804958c 地 址 比较 近 ， 通 过 资料 [8] 查 到 前 者 正好 
是 .got.plt ( 即 过 程 链接 表 ) 对 应 的 全 局 偏 移 表 的 入 口 地 址 。 难 道 
0x804958c 正好 位 于 ,got.plt 节 区 中 ? 


全 局 偏 移 表 (got) 


现在 进入 全 局 偏 移 表 看 看 ， 


$ readelf -x .got.plt test 


Hex dump of section '.got.plt': 
0x08049578 ac940408 00000000 00000000 86820408 ............... 


0x08049588 96820408 a6820408 ..，，，，. 


从 上 述 结 果 可 以 看 出 90x804958c 地 址 (FP 0x08049588+4 ) 处 存放 的 是 
a6820408 ， 考 虑 到 我 的 实验 平台 是 i386 ， 字 节 顺 序 是 little-endian 的 ， 
所 以 实际 数值 应 该 是 080482a6 ， 也 就 是 说 * ( 0x804958c ) 的 值 

是 080482a6 ， 这 个 地 址 刚好 是 过 程 链接 表 的 最 后 一 项 call 

80482a0printi@plt 中 80482a0 地 址 往 后 偏 移 6 个 字 节 ， 容 多 猜 到 该 地 址 应 该 就 

是 jmp 指令 的 后 一 条 地 址 。 


$ objdump -d -d -s -j .plt test | grep "080482a0 <printf@plt>:" 


-A 3 
080482a0 <printf@plt>: 

80482a0: ff 25 8c 95 04 08 jmp *0x804958c 
80482a6: 68 10 00 00 00 push $0x10 

80482ab: e9 cO ff ff ff jmp 8048270 <_init+0x 
18> 


80482a6 地 址 恰巧 是 一 条 push 指令 ， 随 后 是 一 条 jmp 指令 (FARE 
push 指令 入 栈 的 内 容 有 什么 意义 ) ， 执 行 完 push 指令 之 后 ， 就 会 跳 转 到 
8048270 地 址 处 ， 下 面 看 看 8048270 地 址 处 到 底 有 哪些 指令 。 


$ objdump -d -d -s -j ,plt test | grep -v "jmp 8048270 <_init 
+0x18>" | grep "08048270" -A 2 
08048270 <__gmon_start__@p1t-0x10>: 
8048270: ff 35 7c 95 04 08 pushl 0x804957c 
8048276: ff 25 80 95 04 08 jmp *0x8049580 


同样 是 一 条 入 栈 指令 跟着 一 条 跳 转 指令 。 不 过 这 两 个 地 址 9x894957c 和 
0x8049580 是 连续 的 ， 而 且 都 很 熟悉 ， 刚 好 都 在 .got.plLlt RBA (从 上 面 我 
们 已 经 知道 ,got.plt 的 入 口 是 Ox08049578 ) 。 这 样 的 话 ， 我 们 得 确认 这 两 
个 地 址 到 底 有 什么 内 容 。 


$ readelf -x .got.plt test 


Hex dump of section '.got.plt': 
0x08049578 ac940408 00000000 00000000 86820408 ............... 


0x08049588 96820408 a6820408 


Ait > WRAY Ct readelf 查看 到 的 这 两 个 地 址 信息 都 是 0， 它 们 到 底 是 什么 
É? 


现在 只 能 求助 参考 资料 [8]， 该 资料 的 “3.8.5 过 程 链接 表 " 部 分 在 介绍 过 程 链接 表 和 
全 局 偏 移 表 相互 合作 解析 符号 的 过 程 中 的 三 步 涉及 到 了 这 两 个 地 址 和 前 面 没有 说 明 
的 push $ 0x10 指令 。 
o 在 程序 第 一 次 创建 内 存 映像 时 ， 动 态 链接 器 为 全 局 偏 移 表 的 第 二 
( @x804957c ) 和 第 三 项 ( Ox8049580 ) 设置 特殊 值 。 
e 原 步 又 5。 在 跳 转 到 08048270 <__gmon_start__@plt-0x10> ， 即 过 程 链接 
表 的 第 一 项 之 前 ， 有 一 条 压 入 栈 指令 ， 即 push $0x10 ，0x10 是 相对 于 重 定 
位 表 起 始 地 址 的 一 个 偏 移 地 址 ， 这 个 偏 移 地 址 到 底 有 什么 用 呢 ? 它 应 该 是 提供 
给 动态 链接 器 的 什么 信息 吧 ? 后 面 再 说 明 。 
o 原 步 骤 6。 跳 转 到 过 程 链接 表 的 第 一 项 之 后 ， 压 入 了 全 局 偏 移 表 中 的 第 二 项 
(FP @x804957c 处 ) ，"“ 为 动态 链接 器 提供 了 识别 信息 的 机 会 ”( 具体 是 什么 
呢 ?后面 会 简单 提 到 ， 但 这 个 并 不 是 很 重要 )， 然 后 跳 转 到 全 局 偏 移 表 的 第 三 项 
( 0x8049580 ， 这 一 项 比较 重要 ) ， 把 控制 权 交 给 动态 链接 器 。 


从 这 三 步 发 现 程 序 运 行 时 地 址 0x8049580 处 存放 的 应 该 是 动态 链接 器 的 入 口 地 
址 ， 而 重 定位 表 0x10 位 置 处 和 Qx804957c 处 应 该 为 动态 链接 器 提供 了 解析 符 
号 需要 的 某 些 信息 。 


在 继续 之 前 先 总 结 一 下 过 程 链接 表 和 全 局 偏 移 表 。 上 面 的 操作 过 程 仅仅 从 “局 部 "看 
过 了 这 两 个 表 ， 但 是 并 没有 宏观 地 看 里 头 的 内 容 。 下 面 将 宏观 的 分 析 一 下 ， 对 于 过 
程 链 接 表 : 


$ objdump -d -d -s -j .plt test 
08048270 <__gmon_start__@p1t-0x10>: 


8048270: ff 35 7c 95 04 08 pushl 0x804957c 
8048276: ff 25 80 95 04 08 jmp *0x8049580 
804827c: 00 00 add %al, (%eax) 
08048280 <__gmon_start__@plt>: 

8048280: ff 25 84 95 04 08 jmp *0x8049584 
8048286: 68 00 00 00 00 push $0x0 

804828b: e9 e0 ff ff ff jmp 8048270 <_init+0x 
18> 

08048290 <__libc_start_main@plt>: 

8048290: ff 25 88 95 04 08 jmp *0x8049588 
8048296: 68 08 00 00 00 push $0x8 

804829b: e9 dO ff ff ff jmp 8048270 <_init+0x 
18> 

080482a0 <printf@plt>: 

80482a0: ff 25 8c 95 04 08 jmp *0x804958c 
80482a6: 68 10 00 00 00 push $0x10 

80482ab: e9 cO ff ff ff jmp 8048270 <_init+0x 
18> 


除了 该 表 中 的 第 一 项 外 ， 其 他 各 项 实际 上 是 类 似 的 。 而 最 后 一 项 09080482ag 
<printf@plt> 和 第 一 项 我 们 都 分 析 过 ， 因 此 不 难 理解 其 他 几 项 的 作用 。 过 程 链 接 
表 没 有 办 法 单独 工作 ， 因 为 它 和 全 局 偏 移 表 是 关联 的 ， 所 以 在 说 明 它 的 作用 之 前 ， 
先 从 总 体 上 来 看 一 下 全 局 偏 移 表 。 


$ readelf -x .got.plt test 


Hex dump of section '.got.plt': 
0x08049578 ac940408 00000000 00000000 86820408 ............... 


0x08049588 96820408 a6820408 


比较 全 局 偏 移 表 中 0x08049584 处 开始 的 数据 和 过 程 链接 表 第 二 项 开始 的 连续 三 
项 中 push 指定 所 在 的 地 址 ， 不 难 发 现 ， 它 们 是 对 应 的 。 而 0x0804958c Fp 
push 0x10 对 应 的 地 址 我 们 刚才 提 到 过 (下 一 节 会 进一步 分 析 ) ， 其 他 几 项 的 作 
用 类 似 ， 都 是 跳 回 到 过 程 链 接 表 的 push 指令 处 ， 随 后 就 跳 转 到 过 程 链接 表 的 第 
一 项 ， 以 便 解 析 相 应 的 符号 (实际 上 过 程 链接 表 的 第 一 个 表 项 是 进入 动态 链接 器， 
而 之 前 的 连续 两 个 指令 则 传送 了 需要 解析 的 符号 等 信息 ) 。 另 外 0x08049578 和 
0x08049580 处 分 别 存放 有 传递 给 动态 链接 库 的 相关 信息 和 动态 链接 器 本 身 的 入 
口 地 址 。 但 是 还 有 一 个 地 址 9x98049578 ， 这 个 地 址 刚好 是 ,dynamic 的 入 口 
地 址 ， 该 节 区 存放 了 和 动态 链接 过 程 相 关 的 信息 ， 资 料 [8] 提 到 这 个 表 项 实际 上 保 
留 给 动态 链接 器 自己 使 用 的 ， 以 便 在 不 依赖 其 他 程序 的 情况 下 对 自己 进行 初始 化 ， 
所 以 下 面 将 不 再 关注 该 表 项 。 


$ objdump -D test | grep 080494ac 
080494ac <_DYNAMIC>: 


重 定位 表 


这 里 主要 接着 上 面 的 push 0x10 指令 来 分 析 。 通 过 资料 [8] 发 现 重 定位 表 包含 如 
何 修改 其 他 节 区 的 信息 ， 以 便 动 态 链接 器 对 茶 些 节 区 内 的 符号 地 址 进行 重 定 
改 为 新 的 地 址 ) 。 那 到 底 重 定位 表 项 提供 了 什么 样 的 信息 呢 ? 


。 每 一 个 重 定 位 项 有 三 部 分 内 容 ， 我 们 重点 关注 前 两 部 分 。 
o 第 一 部 分 是 roffset ， 这 里 考虑 的 是 可 执行 文件 ， 因 此 根据 资料 发 现 ， 它 
的 取 值 是 被 重 定位 影响 (可 以 说 改变 或 修改 ) 到 的 存储 单元 的 虚拟 地 址 。 

。 第 二 部 分 是 r_info ， 此 成 员 给 出 要 进行 重 定位 的 符号 表 索 引 (CREAR 
引用 到 的 符号 表 ) ， 以 及 将 实施 的 重 定位 类 型 (如 何 进行 符号 的 重 定 位 ) 。 

(Type) ° 


先 来 看 看 重 定位 表 的 具体 内 容 ， 


$ readelf -r test 
Relocation section '.rel.dyn' at offset 0x238 contains 1 entries 


Offset Info Type Sym.Value Sym. Name 
08049574 00000106 R_386_GLOB_DAT 00000000 __gmon_start__ 


Relocation section '.rel.plt' at offset 0x240 contains 3 entries 


Offset Info Type Sym.Value Sym. Name 


08049584 00000107 R_386_JUMP_SLOT 00000000 ___gmon_start__ 
08049588 00000207 R_386_JUMP_SLOT 00000000 __libc_start_mai 


n 
0804958c 00000407 R_386_JUMP_SLOT 00000000 printf 


仅仅 关注 和 过 程 链 接 表 相 关 的 ,rel.plt 部 分 ，0x10 刚好 是 1*16+0*1 > PP 
16 字 节 ， 作 为 重 定位 表 的 偏 移 ， 刚 好 对 应 该 表 的 第 三 行 。 发 现 这 个 结果 中 竟然 包含 
了 和 printf 符号 相关 的 各 种 信息 。 不 过 重 定位 表 中 没有 直接 指定 符号 

printf ， 而 是 根据 r_info 部 分 从 动态 符号 表 中 计算 出 来 的 ， 注 意 观 察 上 述 结 
APA Info 一 列 的 1，2，4 和 下 面 结 果 的 num 列 的 对 应 关系 。 


$ readelf -s test | grep ".dynsym" -A 6 
Symbol table '.dynsym' contains 5 entries: 


Num: Value Size Type Bind Vis Ndx Name 
0: 00000000 © NOTYPE LOCAL DEFAULT UND 
1: 00000000 © NOTYPE WEAK DEFAULT UND __gmon_start_ 


2: 00000000 410 FUNC GLOBAL DEFAULT UND __libc_start_ 
main@GLIBC_2.0 (2) 
3: 08048474 4 OBJECT GLOBAL DEFAULT 14 _I0_stdin_use 


4: 90000000 57 FUNC GLOBAL DEFAULT UND printf@GLIBC_ 
2.0 (2) 


也 就 是 说 在 执行 过 程 链接 表 中 的 第 一 项 的 跳 转 指令 ( jmp *0x8049580 ) 调用 动 
态 链接 器 以 后 ， 动 态 链接 器 因为 有 了 push 0x10 ， 从 而 可 以 通过 该 重 定位 表 项 中 
的 r_info 找到 对 应 符号 ( printf ) 在 符号 表 ( .dynsym ) 中 的 相关 信息 。 


除 此 之 外 ， 符 号 表 中 还 有 Offset ( roffset ) 以 及 Type 这 两 个 重要 信息 ， 
前 者 表示 该 重 定位 操作 后 可 能 影响 的 地 址 0804958c ， 这 个 地 址 刚好 是 got 表 项 的 最 后 一 
项 ， 原 来 存放 的 是 push 0x10 指令 的 地 址 。 这 意味 着 ， 该 地 址 处 的 内 容 将 被 修改 ， 而 如 何 
修改 呢 ? 根据 Type 类 型 R_ 386 _JUMP_SLOT ， 通 过 资料 [8] 查找 到 该 类 型 对 应 的 
说 明 如 下 〈 原 资料 有 误 ， 下 面 做 了 修改 ) : 链接 编辑 器 创建 这 种 重 定位 类 型 主要 是 
为 了 支持 动态 链接 。 其 偏 移 地 址 成 员 给 出 过 程 链接 表 项 的 位 置 。 动 态 链 接 器 修改 全 
局 偏 移 表 项 的 内 容 ， 把 控制 传输 给 指定 符号 的 地 址 。 


这 说 明 ， 动 态 链接 器 将 根据 该 类 型 对 全 局 偏 移 表 中 的 最 有 一 项 ， 即 08049580 地 
址 处 的 内 容 进行 修改 ， 修 改 为 符号 的 实际 地 址 ， 即 printf 浆 数 在 动态 链接 库 的 
内 存 映 像 中 的 地 址 。 

到 这 里 ， 动 态 链接 的 宏观 过 程 似乎 已 经 了 然 于 心 ， 不 过 一 些 细节 还 是 不 太 清 楚 。 
下 面 先 介绍 动态 链接 库 的 创建 ， 隐 式 调 用 和 显示 调用 ， 接 着 进一步 洪 清 上 面 还 不 太 
清楚 的 细节 ， 即 全 局 偏 移 表 中 第 二 项 到 底 传递 给 了 动态 链接 器 什么 信息 ?第 三 项 是 
否 就 是 动态 链接 器 的 地 址 ? 并 讨论 通过 设置 LD_BIND_NOW 而 不 采用 默认 的 lazy 
mode 进行 动态 链接 和 采用 lazy mode 动态 链接 的 区 别 ? 


动态 链接 库 的 创建 和 调用 
动态 符号 链接 的 更 多 细节 之 前 ， 先 来 了 解 一 下 动态 链接 库 的 创建 和 两 种 使 用 
方法 ， 进 而 引出 符号 解析 的 后 台 细 节 。 
创建 动态 链接 库 
首先 来 创建 一 个 简单 动态 链接 库 。 
代码 : 


/* myprintf.c */ 
#include <stdio.h> 


int myprintf(char *str) 

{ 
printf("%s\n", str); 
return 0; 


/* myprintf.h */ 
#ifndef _MYPRINTF_H 
#define _MYPRINTF_H 


int myprintf(char *); 


#endif 


$ gcc -c myprintf.c 

$ gcc -shared -Wl, -soname, libmyprintf.so.0 -o libmyprintf.so.0.0 
myprintf.o 

$ ln -sf libmyprintf.so.0.0 libmyprintf.so.0 

$ ln -fs libmyprintf.so.0 libmyprintf.so 

$ 1s 

libmyprintf.so libmyprintf.so.0 libmyprintf.so.0.0 myprintf.c 
myprintf.h myprintf.o 


得 到 三 个 文件 

libmyprintf.so > libmyprintf.so.0 > libmyprintf.so.0.0 > 这些 库 暂 
且 存 放 在 当前 目录 下 。 这 里 有 一 个 问题 值得 关注 ， 那 就 是 为 什么 要 创建 两 个 符号 链 
接 呢 ?答案 是 为 了 在 不 影响 兼容 性 的 前 提 下 升级 库 [5] 。 


隐 式 使 用 该 库 


现在 写 一 段 代码 来 使 用 该 库 ， 调 用 其 中 的 myprintf HA > A EER AE A A 
È : 在 代码 中 并 没有 直接 使 用 该 库 ， 而 是 通过 调用 myprintf 隐 式 地 使 用 了 该 


通 
库 ， 在 编译 引用 该 库 的 可 执行 文件 时 需要 通过 -1 参数 指定 该 库 的 名 字 。 


Je GES te Cama /: 
#include <stdio.h> 
#include <myprintf.h> 


int main() 


{ 
myprintf("Hello World"); 
return 0; 
} 
编译 : 


$ gcc -o test test.c -lmyprintf -L./ -I./ 


接 运行 test ， 提 示 找 不 到 该 库 ， 因 为 库 的 默认 搜索 路 径 里 头 没有 包含 当前 目 


a [Br 


$ ./test 
./test: error while loading shared libraries: libmyprintf.so: ca 
nnot open shared object file: No such file or directory 


如 果 指 定 库 的 搜索 路 径 ， 则 可 以 运行 


$ LD_LIBRARY_PATH=$PWD ./test 
Hello World 


显 式 使 用 库 


LD_LIBRARY_PATH 环境 变量 使 得 库 可 以 放 到 某 些 指定 的 路 径 下 面 ， aes 
程序 中 显 式 的 指定 该 库 的 绝对 路 径 ， 这 样 避免 了 把 程序 限制 在 某 些 绝对 路 径 
便 库 的 移动 。 


虽然 显 式 调用 有 不 便 ， 但 是 能 够 避免 隐 式 调用 搜索 路 径 的 时 间 消 耗 ， 提 高 效率 ， 除 
此 之 外 ， 显 式 调 用 为 我 们 提供 了 一 组 函数 调用 ， 让 符号 的 重 定位 过 程 一 览 无 遗 。 


Ve TES ESL ce 


#include <dlfcn.h> /* dlopen, dlsym, dlerror */ 
#include <stdlib.h> Jv Texas E 

#include <stdio.h> /* printf */ 

#define LIB_SO_NAME "./libmyprintf.so" 


#define FUNC_NAME "myprintf" 


typedef int (*func)(char *); 


int main(void) 

{ 
void *h; 
char *e; 
func f; 


h = dlopen(LIB_SO_NAME, RTLD_LAZY); 
i CN) 


printf ("failed load libary: %s\n", LIB_SO_NAME); 


exit(-1); 
} 
f = dlsym(h, FUNC_NAME); 
e dlerror(); 
if (e != NULL) { 
printf ("search %s error: %s\n", FUNC_NAME, 


O_NAME); 
exit(-1); 


} 
f("Hello world"); 


exit(0); 


$ gcc -o testi testi.c -ldl 


LIB_S 


这 种 情况 下 ， 无 须 包 含 头 文件 。 从 这 个 代码 中 很 容易 看 出 符号 重 定位 的 过 程 : 


e 首先 通过 dlopen 找到 依赖 库 ， 并 加 载 到 内 存 中 ， 再 返回 该 库 的 handle ， 
通过 dlopen 我 们 可 以 指定 RTLD_LAZY 采用 lazy mode 动态 链接 模 
式 ， 如 果 采 用 RTLD_NOW 则 和 隐 式 调用 时 设置 LD_BIN_NOW 类 似 。 

e 找到 该 库 以 后 就 是 对 某 个 符号 进行 重 定 位 ， 这 里 是 确定 myprintf 部 数 的 地 
址 。 

o 找到 函数 地 址 以 后 就 可 以 直接 调用 该 函数 了 。 


关于 dlopen > dlsym 等 后 台 工 作 细节 建议 参考 资料 [15] © 


隐 式 调用 的 动态 符号 链接 过 程 和 上 面 类 似 。 下 面 通过 一 些 实例 来 确定 之 前 没有 明确 
的 两 个 内 容 : 即 全 局 偏 移 表 中 的 第 二 项 和 第 三 项 ， 并 进一步 讨论 lazy mode 和 非 lazy 
mode 的 区 别 。 


动态 链接 过 程 
因为 通过 ELF 文件 ， 我 们 就 可 以 确定 全 局 偏 移 表 的 位 置 ， 因 此 为 了 确定 全 局 偏 移 
表 位 置 的 第 三 项 和 第 四 项 的 内 容 ， 有 两 种 办 法 : 
e 通过 gdb 调试 。 
o 直接 在 函数 内 部 打印 。 
因为 资料 [3] 详 细 介 绍 了 第 一 种 方法 ， 这 里 试 着 通过 第 二 种 方法 来 确定 这 两 个 地 址 的 


值 。 


ff 

* got.c -- get the relative content of the got(global offset ta 
ble) of an elf file 

a 


#include <stdio.h> 
#define GOT 0x8049614 


int main(int argc, char *argv[]) 
{ 

long got2, got3; 

long old_addr, new_addr; 


got2=*(long *)(GOT+4); 
got3=*(long *)(GOT+8); 
old_addr=*(long *)(GOT+24); 


printf("Hello World\n"); 
new_addr=*(long *)(GOT+24); 
printf("got2: Ox%Ox, got3: Ox%Ox, old_addr: Ox%0x, new_a 
ddr: 0x%Ox\n", 
got2, got3, old_addr, ne 


w_addr); 


return 0, 


在 写 好 上 面 的 代码 后 就 需要 确定 全 局 偏 移 表 的 地 址 ， 然 后 把 该 地 址 设置 为 代码 中 的 
宏 GOT 。 


$ make got 
$ readelf -d got | grep PLTGOT 
O0x00000003 (PLTGOT) 0x8049614 


注 : 这 里 假设 大 家 用 的 都 是 i886 的 系统 ， 如 果 要 在 X86 64 位 系统 上 要 编译 
生成 i386 上 的 可 执行 文件 ， 需 要 给 gcc 传递 一 个 -m32 参数 ， 例 如 : 


$ gcc -m32 -o got got.c 


把 地 址 0x8049614 替换 到 上 述 代码 中 ， 然 后 重新 编译 运行 ， 查 看 结果 。 


$ make got 
$ Hello World 


got2: Oxb7f376d8, got3: Oxb7f2ef10, old_addr: O0x80482da, new_add 
r: 0xb7e19a20 

$ ./got 

Hello World 


got2: Oxb7fie6d8, got3: Oxb7f15f10, old_addr: 0x80482da, new_add 
r: Oxb7e00a20 


通过 两 次 运行 ， 发 现 全 局 偏 移 表 中 的 这 两 项 是 变化 的 ， 并 且 printf 的 地 址 对 应 
的 new addr 也 是 变化 的 ， 说 明 libe 和 ld-linux 这 两 个 库 启 动 以 后 对 应 
的 虚拟 地 址 并 不 确定 。 因 此 ， 无 法 直接 跟踪 到 那个 地 址 处 的 内 容 ， 还 得 借助 调试 工 
具 ， 以 便 确认 它们 。 


下 面 重新 编译 got ， 加 上 -g 参数 以 便 调 试 ， 并 通过 调试 确认 
got2 > got3 ， 以 及 调用 printf 前 后 printf 地 址 的 重 定位 情况 。 


$ gcc -g -o got got.c 
$ gdb -q ./got 


(gdb) 1 

5 #include <stdio.h> 

6 

7 #define GOT 0x8049614 

8 

9 int main(int argc, char *argv[]) 

10 { 

11 long got2, got3; 

12 long old_addr, new_addr; 

13 

14 got2=*(long *)(GOT+4); 
(gdb) 1 

15 got3=*(long *)(GOT+8); 

16 old_addr=*(long *)(GOT+24); 
17 

18 printf("Hello World\n"); 

19 

20 new_addr=*(long *)(GOT+24); 
21 

22 printf("got2: Ox%Ox, got3: Ox%Ox, old_addr: 0x%0 
x, new_addr: Ox%Ox\n", 

23 got2, got3, old_ 
addr, new_addr); 

24 


在 第 一 个 printf 处 设置 一 个 断 点 : 


(gdb) break 18 
Breakpoint 1 at 0x80483c3: file got.c, line 18. 


在 第 二 个 printf 处 设置 一 个 断 点 : 


(gdb) break 22 
Breakpoint 2 at 0x80483dd: file got.c, line 22. 


运行 到 第 一 个 printf 之 前 会 停止 : 


(gdb) r 
Starting program: /mnt/hda8/Temp/c/program/got 


Breakpoint 1, main () at got.c:18 
18 printf("Hello World\n"); 


查看 执行 printf 之 前 的 全 局 偏 移 表 内 容 : 


(gdb) x/8x 0x8049614 


0x8049614 <_GLOBAL_OFFSET_TABLE_>: 0x08049548 Oxb7f3cé6 
d8 0xb7f33f10 0x080482aa 
0x8049624 <_GLOBAL_OFFSET_TABLE_+16>: Oxb7ddbd20 0x080482 
ca 0x080482da 0x00000000 


查看 GOT 表 项 的 最 有 一 项 ， 发 现 刚好 是 PLT AYP push 指令 的 地 址 : 


(gdb) disassemble 0x080482da 
Dump of assembler code for function puts@plt: 


0x080482d4 <puts@plt+0>: jmp *0x804962c 
0x080482da <puts@plt+6>: push $0x18 
0x080482df <puts@plt+11>: jmp 0x8048294 <_init+24> 


说 明 此 时 还 没有 进行 进行 符号 的 重 定位 ， 不 过 发 现 并 非 printf ， 而 是 
puts(1) ° 
接着 查看 GOT 第 三 项 的 内 容 ， 刚 好 是 dl-linux 对 应 的 代码 : 


(gdb) disassemble 0xb7f33f10 
Dump of assembler code for function _dl_runtime_resolve: 


Oxb7f33f10 <_dl_runtime_resolve+0>: push %eax 
Oxb7f33f11 <_dl_runtime_resolveti>: push %ecx 
Oxb7f33f12 <_dl_runtime_resolve+2>: push %edx 


可 通过 nm /lib/ld-linux.so.2 | grep _dl_runtime_resolve 进行 确认 。 


然 


后 查看 GOT 表 第 二 项 处 的 内 容 ， 看 不 出 什么 特别 的 信息 ， 反 编译 时 提示 无 法 反 


编译 : 


在 


(gdb) x/8x Oxb7f3c6d8 


Oxb7f3cé6d8: 0x00000000 Oxb7f39c3d 0x08049548 
Oxb7f3c9b8 
Oxb7f3c6es8: 0x00000000 Oxb7f3c6d8 0x00000000 
Oxb7f3c9a4 

*(0xb7f33f10) 指向 的 代码 处 设置 一 个 断 点 ， 确 认 它 是 否 被 执行 


(gdb) break *(0xb7f33f10) 
break *(0xb7f33f10) 
Breakpoint 3 at Oxb7f3cf10 
(gdb) c 

Continuing. 


Breakpoint 3, Oxb7f3cf10 in _dl_runtime_resolve () from /lib/1ld- 
linux.so.2 


继续 运行 ， 直 到 第 二 次 调用 printf 


(gdb) c 
Continuing. 
Hello World 


Breakpoint 2, main () at got.c:22 
22 printf("got2: Ox%Ox, got3: Ox%Ox, old_addr: 0x%0 


x, new_addr: 0x%0x\n", 


再 次 查看 GOT RR? RH GOT 表 的 最 后 一 项 的 值 应 该 被 修改 : 


(gdb) x/8x 0x8049614 


0x8049614 <_GLOBAL_OFFSET_TABLE_>: 0x08049548 Oxb7f3cé6 
d8 0xb7f33f10 0x080482aa 
0x8049624 <_GLOBAL_OFFSET_TABLE_+16>: Oxb7ddbd20 0x080482 


ca Oxb7e1ea20 0x00000000 


查看 GOT 表 最 后 一 项 ， 发 现 变 成 了 puts 函数 的 代码 ， 说 明 进 行 了 符号 
puts 的 重 定位 〈2 ) 


(gdb) disassemble 0xb7e1ea20 
Dump of assembler code for function puts: 


Oxb7e1ea20 <puts+0>: push %ebp 
Oxb7e1ea21 <putst+i>: mov %esp, %ebp 
Oxb7e1ea23 <putst+3>: sub $Oxic,%esp 


通过 演示 发 现 一 个 问题 (1) (2) ， 即 本 来 调用 的 是 printf ， 为 什么 会 进行 
puts 的 重 定位 呢 ? 通 过 gee -S 参数 编译 生成 汇编 代码 后 发 现 ， gcc 把 

printf 替换 成 了 puts ， 因 此 不 难 理解 程序 运行 过 程 为 什么 对 puts 进行 了 
重 定位 。 


从 演示 中 不 难 发 现 ， 当 符号 被 使 用 到 时 才 进 行 重 定位 。 因 为 通过 调试 发 现在 执行 
printf 之 后 ， GOT or printf (确切 的 说 是 
puts ) 的 地 址 。 这 就 是 所 谓 的 lazy mode 动态 符号 链接 方式 。 


除 此 之 外 ， 我 们 容易 发 现 GOT 表 第 三 项 确实 是 1d-1linux.so 中 的 某 个 函数 地 
址 ， 并 且 发 现在 执行 printf 语句 之 前 ， 先 进入 了 ld-linux.so 的 
_dl_runtime_resolve 函数 ， 而 且 在 它 返 回 之 后 ， GOT 表 的 最 后 一 项 才 变 为 
printf ( puts ) 的 地 址 。 


本 来 打算 通过 第 一 个 断 点 确认 第 二 次 调用 printf 时 不 再 需要 进行 动态 符号 链接 
不 过 gcc 把 第 一 个 替换 成 了 _ puts ， 所 以 这 里 没有 办 法 继续 调试 。 如 

想 确认 这 个 ， 你 可 以 通过 写 两 个 一 样 的 printf 语句 看 看 。 实 际 上 第 一 次 链接 
ve GOT vr mete ee 当下 次 再 进入 过 程 链 接 表 ， 并 执行 jmp * 
(全 局 偏 移 表 中 某 一 个 地 址 ) 指令 时 ， *( 全 局 偏 移 表 中 某 一 个 地 址 ) 已 经 被 修改 为 了 对 
应 符号 的 实际 地 址 ， 这 样 jmp 语句 会 自动 跳 转 到 符号 的 地 址 处 运行 ， 执 行 具体 的 
函数 代码 ， 因 此 无 须 再 进行 重 定位 。 


到 现在 GOT 表 中 只 剩 下 第 二 项 还 没有 被 确认 ， 通 过 资料 [3] 我 们 发 现 ， 该 项 指向 
一 个 link_map 类 型 的 数据 ， 是 一 个 鉴别 信息 ， 有 具体 作用 对 我 们 来 说 并 不 是 很 重 
要 ， 如 果 想 了 解 ， 请 参考 资料 [16] © 


下 面 通过 设置 LD_BIND_NOW 再 运行 一 下 got 程序 并 查看 结果 ， 比 较 它 与 默认 
的 动态 链接 方式 ( lazy mode ) 的 异同 。 


e 设置 LD BIND NOW 环境 变量 的 运行 结果 


$ LD_BIND_NOW=1 ./got 

Hello World 

got2: 0x0, got3: 0x0, old_addr: Oxb7e61a20, new_addr: Oxb7 
e61a20 


o 默认 情况 下 的 运行 结果 


$ ./got 

Hello world 

got2: Oxb7f806d8, got3: Oxb7f77f10, old_addr: 0x80482da, n 
ew_addr: 0xb7e62a20 


通过 比较 容易 发 现 ， 在 非 lazy mode (设置 LD_BIND_NOW 后 ) 下 ， 程 序 运 行 
之 前 符号 的 地 址 就 已 经 被 确定 ， 即 调用 printf 之 前 GOT 表 的 最 后 一 项 已 经 被 
确定 为 了 printf 部 数 对 应 的 地 址 ， 即 90xb7e61a20 ° Pe a Z 

后 ， GOT 表 的 第 二 项 和 第 三 项 就 保持 为 0， 因为 此 时 不 再 需要 它们 进行 符号 的 重 
定位 了 。 通 过 这 样 一 个 比较 ， 就 更 容 多 理解 lazy mode 的 特点 了 ae 的 时 

候 才 解析 。 


到 这 里 ， 符 号 动态 链接 的 细节 基本 上 就 已 经 清楚 了 。 


。 LINUX 系统 中 动态 链接 库 的 创建 与 使 用 

e LINUX 动态 链接 库 高 级 应 用 

o ELF 动态 解析 符号 过 程 (修订 版 ) 

e 如 何在 Linux 下 调试 动态 链接 库 

e Dissecting shared libraries 

e 关于 Linux 和 Unix 动态 链接 库 的 安全 

e Linux 系统 下 解析 ELF 文件 DT_RPATH 后 门 


e ELF 文件 格式 分 析 


动态 符号 链接 的 细 


© 缓冲 区 溢出 与 注入 分 析 ( 第 二 部 分 : 缓冲 区 溢出 和 注入 实例 ) 


Je 


o Goc 编译 的 背后 (第 二 部 分 : 汇编 和 链接 ) 
o 程序 执行 的 那 一 刹那 


e What is Linux-gate.so.1: [1], [2], [3] 
e Linux 下 缓冲 区 溢出 攻击 的 原理 及 对 策 
e Intel 平台 下 Linux 中 ELF 文件 动态 链接 的 加 载 、 解 析 及 实例 分 析 part1, part2 


e ELF file format and ABI 
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前 


进程 的 内 存 映 像 

o 常用 寄存 器 初 识 

o call > ret 指令 的 作用 分 析 

o 什么 是 系统 调用 

o 什么 是 ELF 文件 

o 程序 执行 基本 过 程 

o Linux 下 程序 的 内 存 映像 

o 栈 在 内 存 中 的 组 织 

缓冲 区 溢出 

o 实例 分 析 : 字符 串 复 制 

o 缓冲 区 溢出 后 果 

o 缓冲 区 溢出 应 对 策略 

o 如 何 保护 ebp 不 被 修改 

o 如 何 保护 eip 不 被 修改 ? 

o 缓冲 区 溢出 检测 

缓冲 区 注入 实例 

o 准备 : 把 C 语言 函数 转换 为 字符 串 序 列 
o 注入 :在 C 语 言 中 执行 字符 串 化 的 代码 
o 注入 原理 分 析 

o 缓冲 区 注入 与 防范 


虽然 程序 加 载 以 及 动态 符号 链接 都 已 经 很 理解 了 ， 但 是 这 伙 却 被 进程 的 内 存 映 像 
给 "纠缠 " 住 。 看 着 看 着 就 一 发 不 可 收拾 一 很 有 趣 。 





下 面 一 起 来 探究 “ 缕 冲 区 溢出 和 注入 "问题 (主要 是 关心 程序 的 内 存 映像 ) 。 


进 


程 的 内 存 映像 
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永远 的 Hello World ， 太 熟悉 了 吧 ， 


#include <stdio.h> 

int main(void) 

{ 
printf("Hello World\n"); 
return 0, 


如 果 要 用 内 联 汇编 〈 inline assembly ) KKH? 


1 /* shellcode.c */ 
2 void main() 
3 { 
4 __asm__ _ volatile ("jmp forward;" 
5 "backward:" 
6 "popl %esi;" 
7 "movl $4, %eax;" 
8 "movl $2, %ebx;" 
9 "movl %esi, %ecx;" 
10 "movl $12, %edx;" 
11 "int $0x80;" /* system call 1 
27 
12 "movl $1, %eax;" 
13 "movl $0, %ebx;" 
14 "int $0x80;" /* system call 2 
wi 
15 "forward:" 
16 "call backward;" 
17 " string \"Hello World\\n\";"); 
18 } 


有 了 个 Hello World 。 不 过 
这 个 非常 有 意思 。 先 简单 分 析 一 下 流程 : 


o 第 4 行 指令 的 作用 是 跳 转 到 第 15 行 (BP forward 标记 处 ) ， 接 着 执行 第 
16 行 。 
e 第 16 行 调用 backward ， 跳 转 到 第 5 行 ， 接 着 执行 6 到 14 行 。 


o 第 6 行 到 第 11 行 负责 在 终端 打印 出 Hello World 字符 串 〈 等 一 下 详细 介 


e 第 12 行 到 第 14 行 退出 程序 (等 一 下 详细 介绍 ) 。 


为 了 更 好 的 理解 上 面 的 代码 和 后 续 的 分 析 ， 先 来 介绍 几 个 比较 重要 的 内 容 。 


常用 寄存 器 初 识 
X86 处 理 器 平台 有 三 个 常用 寄存 器 : 程序 指令 指针 、 程 序 堆栈 指针 与 程序 基 指 
针 : 


寄存 器 名 称 注释 
EIP 程序 指令 指针 通常 指向 下 一 条 指令 的 位 置 
ESP 程序 堆栈 指针 通常 指向 当前 堆栈 的 当前 位 置 
EBP 程序 基 指 针 通常 指向 函数 使 用 的 堆栈 顶端 


当然 ， 上 面 都 是 扩展 的 寄存 器 ， 用 于 32 位 系统 ， 对 应 的 16 系统 为 
ip ，Sp ，bp ° 


call > ret 指令 的 作用 分 析 


e call 指令 
跳 转 到 某 个 位 置 ， 并 在 之 前 把 下 一 条 指令 的 地 址 ( EIP ) AR (为 了 方便 " 程 
序 “ 返 回 以 后 能 够 接着 执行 ) 。 这 样 的 话 就 有 : 


call backward ==> push eip 
jmp backward 


e ret 指令 


m call 指令 和 ret 是 配合 使 用 的 ， 前 者 压 入 跳 转 前 的 下 一 条 指令 地 
后 者 弹出 call 指令 压 入 的 那 条 指令 ， 从 而 可 以 在 函数 调用 结束 以 后 接 


n a 


ret ==> pop eip 


通常 在 函数 调用 后 ， 还 需要 恢复 esp 和 ebp > KR esp 即 恢复 当前 栈 指针 > 
以 便 释 放 调 用 函数 时 为 存储 函数 的 局 部 变量 而 自动 分 配 的 空间 ; 恢复 ebp MR 
中 弹出 一 个 数据 项 (通常 函数 调用 过 后 的 第 一 条 语句 就 是 push ebp ) ， 从 而 恢 
复 当 前 的 函数 指针 为 函数 调用 者 本 身 。 这 两 个 动作 可 以 通过 一 条 leave 指令 完 

成 o 


这 三 个 指令 对 我 们 后 续 的 解释 会 很 有 帮助 。 更 多 关于 Intel 的 指令 集 ， 请 参考 : Intel 
386 Manual, x86 Assembly Language FAQ : part1, part2, part3. 


什么 是 系统 调用 (VA Linux 2.6.21 版 本 和 x86 平台 为 
例 ) 


系统 调用 是 用 户 和 内 核 之 间 的 接口 ， 用 户 如 果 想 写 程序 ， 很 多 时 候 直接 调用 了 C 

库 ， 并 没有 关心 系统 调用 ， 而 实际 上 C 库 也 是 基于 系统 调用 的 。 这 样 应 用 程序 和 内 
核 之 问 就 可 以 通过 系统 调用 联系 起 来 。 它 们 分 别处 于 操作 系统 的 用 户 空 间 和 内 核 空 
间 (主要 是 内 存 地 址 空间 的 隔离 ) © 


用 户 空 间 kz Fl 42% (Applications) 
| | 
| C/E (glibc) 
| | 
系统 调用 (System Calls > 如 sys_read, sys_writ 
e, sys_exit) 


| 
内 核 空间 内 核 (Kerne1l) 


系统 调用 实际 上 也 是 一 些 函 数 ， 它 们 被 定义 在 arch/i386/kernel/sys_i386.c 
( 老 的 在 arch/i386/kernel/sys.c ) 文件 中 ， 并 且 通 过 一 张 系统 调用 表 组 织 ， 
该 表 在 内 核 启 动 时 就 已 经 加 载 了 ， 这 个 表 的 入 口 在 内 核 源 代码 的 
arch/i386/kernel/syscall_table.S ZK ( 老 的 在 
arch/i386/kernel/entry.S ) 。 这 样 ， 如 果 想 添加 一 个 新 的 系统 调用 ， 修 改 上 
面 两 个 内 核 中 的 文件 ， 并 重新 编译 内 核 就 可 以 。 当 然 ， 如 果 要 在 应 用 程序 中 使 用 它 
们 ， 还 得 把 它 写 到 include/asm/unistd.h 中 。 


如 果 要 在 C 语言 中 使 用 某 个 系统 调用 ， 需 要 包含 头 文件 
/usr/include/asm/unistd.h ， 里 头 有 各 个 系统 调用 的 声明 以 及 系统 调用 号 
(对 应 于 调用 表 的 入 口 ， 即 在 调用 表 中 的 索引 ， 为 方便 查找 调用 表 而 设立 的 ) 。 如 


果 是 自己 定义 的 新 系统 调用 ， 可 能 还 要 在 开头 用 宏 _syscall(type, name, 
type1, name1...) 来 声明 好 参数 。 


如 果 要 在 汇编 语言 中 使 用 ， 需 要 用 到 int 90x89 调用 ， 这 个 是 系统 调用 的 中 断 入 
口 。 涉 及 到 传送 参数 的 寄存 器 有 这 么 几 个 ， eax 是 系统 调用 号 (可 以 到 
/usr/include/asm-i386/unistd.h 或 者 直接 到 
arch/i386/kernel/syscall table.S 查 到 ) ， 其 他 寄存 器 如 

ebx ， ecx ， edx ， esi ，edi 一 次 存放 系统 调用 的 参数 。 而 系统 调用 的 
返回 值 存放 在 eax 寄存 器 中 。 


下 面 我 们 就 很 容易 解释 前 面 的 Shellcode.c 程序 流程 的 2，3 两 部 分 了 。 因 为 都 
用 了 int oxs0 中 断 ， 所 以 都 用 到 了 系统 调用 。 


第 3 部 分 很 简单 ， 用 到 的 系统 调用 号 是 1， 通 过 查 表 ( 查 /usr/include/asm- 
i386/unistd.h 或 arch/i386/kernel/syscall_table.S ) 可 以 发 现 这 里 是 
sys_exit 调用 ， 再 从 /usr/include/unistd.h 文件 看 这 个 系统 调用 的 声 

明 ， 发 现 参数 ebx 是 程序 退出 状态 。 


第 2 部 分 比较 有 趣 ， 而 且 复 杂 一 点 。 我 们 依次 来 看 各 个 寄存 器 ， 首 先 根据 eax 为 
4 确定 (同样 查 表 ) 系统 调用 为 sys_write ， 而 查看 它 的 声明 (从 
/usr/include/unistd.h ) ， 我 们 找到 了 参数 依次 为 文件 描述 符 、 字 符 串 指针 和 
字符 串 长 度 。 


| 


第 一 个 参数 是 ebx > EM 2> PIERRA > RUA A © 

e 第 二 个 参数 是 ecx ， 而 ecx 的 内 容 来 自 esi ， esi 来 自 刚 弹出 栈 的 值 
( 见 第 6 行 popl %esi; ) ， 而 之 前 刚好 有 call 指令 引起 了 最 近 一 次 压 
栈 操作 ， 入 栈 的 内 容 刚好 是 call 指令 的 下 一 条 指令 的 地 址 ， 即 string 
所 在 行 的 地 址 ， 这 样 ecx 刚好 引用 了 Hello world\\n 字符 串 的 地 址 。 

e 第 三 个 参数 是 edx ， 刚 好 是 12， 即 Hello World\\n 字符 串 的 长 度 ( 包 
括 一 个 空 字符 ) 。 这 样 ， Shellcode.c 的 执行 流程 就 很 清楚 了 ， 第 4，5， 
15，16 行 指令 的 巧妙 之 处 也 就 容易 理解 了 (把 .string 存放 在 call 48 
令 之 后 ， 并 用 popl 指令 把 eip 弹出 当 作 字符 串 的 入 口 ) 。 


iT & xe ELF 文件 


这 里 的 ELF 不 是 “精灵 ”， 而 是 Executable and Linking Format 文件 ， 是 Linux 下 用 
来 做 目标 文件 、 可 执行 文件 和 共享 库 的 一 种 文件 格式 ， 它 有 专门 的 标准 ， 例 
如 : X86 ELF format and ABI > P XM ° 


下 面 简单 描述 ELF 的 格式 。 
ELF 文件 主要 有 三 种 ， 分 别 是 : 


o 可 重 定位 的 目标 文件 ， 在 编译 时 用 gcc 的 -c 参数 时 产生 。 

o 可 执行 文件 ， 这 类 文件 就 是 我 们 后 面 要 讨论 的 可 以 执行 的 文件 。 

@ 共享 库 ， 这 里 主要 是 动态 共享 库 ， 而 静态 共享 库 则 是 可 重 定位 的 目标 文件 通过 
ar 命令 组 织 的 。 


ELF 文件 的 大 体 结 构 : 


ELF Header # 程 序 头 ， 有 该 文件 的 Magic number( 参 考 man mag 
ic)， 类 型 等 

Program Header Table # 对 可 执行 文件 和 共享 库 有 效 ， 它 描述 下 面 各 个 节 ( se 
ction ) 组 成 的 段 

Section1 

Section2 

Section3 

Program Section Table  # 仅 对 可 重 定位 目标 文件 和 静态 库 有 效 ， 用 于 描述 各 个 S 
ection 的 重 定位 信息 等 。 


对 于 可 执行 文件 ， 文 件 最 后 的 Program Section Table ( 节 区 表 ) 和 一 些 非 重 
定位 的 Section ， 比 如 ,comment > ,note.XXX.debug 等 信息 都 可 以 删除 
掉 ， 不 过 如 果 用 strip ， objcopy 等 工具 删除 掉 以 后 ， 就 不 可 恢复 了 。 因 为 这 
些 信息 对 程序 的 运行 一 般 没 有 任何 用 处 。 


ELF 文件 的 主要 节 区 ( section ) 有 
.data ， .text ， .bss ， ,interp 等 ， 而 主要 段 ( segment ) 有 


AE 


LOAD ， INTERP 等 。 它 们 之 间 〈 节 区 和 段 ) 的 主要 对 应 关系 如 下 : 


Section 解释 实例 

.data 初始 化 的 数据 比如 int a=10 

text 程序 代码 正文 即 可 执行 指令 集 

.interp 描述 程序 需要 的 解释 器 存 有 解释 器 的 全 路 径 ， 如 /1ib/1d- 
(动态 连接 和 装载 程序 ) linux.so 


而 程序 在 执行 以 后 ， data ， .bss ， .text 等 一 些 节 区 会 被 Program 
header table 映射 到 LOAD 段 ， ,interp 则 被 映射 到 了 INTERP 上段。 


对 于 ELF 文件 的 分 析 ， 建 议 使 用 
file > size ° readelf ， objdump °’ strip °’ objcopy ° gdb ° nm 
等 工具 。 


这 里 简单 地 演示 这 几 个 工具 : 


$ gcc -g -o shellcode shellcode.c # 如 果 要 用 gdb 调 试 ， 编 译 时 加 上 -g 是 必 
须 的 
shellcode.c: In function ‘main’ 
shellcode.c:3: warning: return type of ‘main’ is not ‘int’ 
f$ file shellcode  #file 命 令 查 看 文件 类 型 ， 想 了 解 工 作 原 理 ， 可 man magic, 
man file 
shellcode: ELF 32-bit LSB executable, Intel 80386, version 1 (SY 
SV), 
dynamically linked (uses shared libs), not stripped 
$ readelf -l shellcode  # 列 出 ELF 文 件 前 面 的 program head table， 后 面 是 
它 描 

# 述 了 各 个 段 (Segment ) 和 节 区 (section) 的 关系 ， 即 
各 个 段 包 含 哪些 节 区 。 
Elf file type is EXEC (Executable file) 
Entry point 0x8048280 
There are 7 program headers, starting at offset 52 


Program Headers: 


Type Offset VirtAddr PhysAddr FileSiz MemSiz 
Flg Align 

PHDR Ox000034 0x08048034 0x08048034 Ox000e0 Ox000e0 
R E 0x4 

INTERP 0x000114 0x08048114 0x08048114 Ox00013 0x00013 
R 0x1 

[Requesting program interpreter: /lib/ld-linux.so.2] 

LOAD 0x000000 0x08048000 0x08048000 0x0044c 0x0044c 
R E 0x1000 

LOAD 0x00044c 0x0804944c 0x0804944c 0X00100 0x00104 
RW 0x1000 

DYNAMIC 0x000460 0x08049460 0x08049460 Ox000C8 0x000c8 


RW 0x4 


NOTE 0x000128 O0x08048128 0x08048128 Ox00020 0x00020 
R 0x4 

GNU_STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 
RW 0x4 


Section to Segment mapping: 
Segment Sections... 


00 
01 .interp 
02 .interp .note.ABI-tag .hash .dynsym .dynstr .gnu.versi 


on .gnu.version_r 
.rel.dyn .rel.plt .init .plt .text .fini .rodata .eh_f 


rame 
03 .ctors .dtors .jcr .dynamic .got .got.plt .data .bss 
04 . dynamic 
05 .note.ABI-tag 
06 
$ size shellcode  # 可 用 size 命 令 查 看 各 个 段 (对 应 后 面 将 分 析 的 进程 内 存 映 像 
) 的 大 小 
text data bss dec hex filename 
815 256 4 1075 433 shellcode 


$ strip -R .note.ABI-tag shellcode # 可 用 strip 来 给 可 执行 文件 “减肥 ”， 
删除 无 用 信息 


$ size shellcode #4 减肥 ”后 效果 “明显 ”， 对 于 骨 入 式 系 统 应 该 
有 很 大 的 作用 

text data bss dec hex filename 

783 256 4 1043 413 shellcode 


$ objdump -s -j .interp shellcode # 这 个 主要 工作 是 反 编译 ， 不 过 用 来 查看 
各 个 节 区 也 很 厉害 


shellcode: file format elf32-i1386 


Contents of section .interp: 
8048114 2f6c6962 2f6c642d 6c696e75 782e736F /1lib/l1d-linux.so 
8048124 2e3200 225 


补充 : 如 果 要 删除 可 执行 文件 的 Program Section Table ， 可 以 用 A Whirlwind 
Tutorial on Creating Really Teensy ELF Executables for Linux 一 文 的 作者 写 的 elf 
kicker 工具 链 中 的 sstrip 工具 。 
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程序 执行 基本 过 程 
在 命 ， 敲 入 程序 的 名 字 或 者 是 全 路 径 ， 然 后 按 下 回 车 就 可 以 启动 程序 ， 这 个 
具体 是 怎么 工作 的 呢 ? 


首先 要 再 认识 一 下 我 们 的 命令 行 ， 命 令 行 是 内 核 和 用 户 之 间 的 接口 ， 它 本 身 也 是 一 
个 程序 。 在 Linux 系统 启动 以 后 会 为 每 个 终端 用 户 建立 一 个 进程 执行 一 个 Shell 解 
释 程序 ， 这 个 程序 解释 并 执行 用 户 输入 的 命令 ， 以 实现 用 户 和 内 核 之 间 的 接口 。 这 
类 解释 程序 有 哪些 呢 ? 目前 Linux 下 比较 常用 的 有 /bin/bash 。 那 么 该 程序 接收 
并 执行 命令 的 过 程 是 怎么 样 的 呢 ? 


先 简单 描述 一 下 这 个 过 程 : 


e 读 取 用 户 由 键盘 输入 的 命令 行 。 
eo 分 析 命令 ， 以 命令 名 作为 文件 名 ， 并 将 其 它 参 数 改 为 系统 调用 execve 内 部 
处 理 所 要 求 的 形式 。 
进程 调用 fork 建立 一 个 子 进 程 。 
淳 进程 本 身 用 系统 调用 wait4 来 等 待 子 进程 完成 (如 果 是 后 台 命 令 ， 则 不 
) 。 当 子 进程 运行 时 调用 execve ， 子 进程 根据 文件 名 ( 即 命令 名 ) 到 
录 中 查找 有 关 文 件 ( 这 是 命令 解释 程序 构成 的 文件 ) ， 将 它 调 入 内 存 ， 执 行 
这 个 程序 (解释 这 条 命令 ) 。 
号 ( 
qk 


村 


一 个 xX 


终端 
终 3 
A 对 


是 
) 

o 如 果 命 令 末尾 有 & 后 台 命 令 符号 ) ， 则 终端 进程 不 用 系统 调用 wait4 
等 待 ， 立 即 发 提示 符 ， 让 用 户 输 入 下 一 个 命令 ， 转 1) 。 如 果 命 令 末 尾 没有 
& 号 ， 则 终端 进程 要 一 ee 当 子 进程 ( 即 运 行 命令 的 进程 ) 完成 处 理 后 
终止 ， 向 父 进程 (终端 进程 ) 报告 ， 此 时 终端 进程 醒 来 ， 在 做 必要 的 判别 等 工 
作 后 ， 终 端 进程 发 提示 符 ， 让 用 户 输入 新 的 命令 ， 重 复 上 述 处 理 过 程 。 


现在 用 strace 来 跟踪 一 下 程序 过 程 中 用 到 的 系统 调用 。 


$ strace -f -o strace.out test 
$ cat strace.out | grep \(.*\) | sed -e "S#[0-9]* \([a-ZA-Z0-9_] 
*\)(.*).*#\1#g" 
execve 

brk 

access 

open 

fstat64 

mmap2 

close 

open 

read 

fstat64 

mmap2 

mmap2 

mmap2 

mmap2 

close 

mmap2 
set_thread_area 
mprotect 

munmap 

brk 

brk 

open 

fstat64 

mmap2 

close 

close 

close 
exit_group 


相关 的 系统 调用 基本 体现 了 上 面 的 执行 过 程 ， 需 要 注意 的 是 ， 里 头 还 涉及 到 内 存 映 
射 ( mmap2 ) 等 。 


下 面 再 罗 嗪 一 些 比较 有 意思 的 内 容 ， 参 考 《深入 理解 Linux 内 核 》 的 程序 的 执行 
(P681) 。 


Linux 支持 很 多 不 同 的 可 执行 文件 格式 ， 这 些 不 同 的 格式 是 如 何 解释 的 呢 ? 平时 我 
们 在 命令 行 下 融入 一 个 命令 就 完了 ， 也 没有 去 管 这 些 细节 。 实 际 上 Linux 下 有 一 个 
struct linux_binfmt 结构 来 管理 不 同 的 可 执行 文件 类 型 ， 这 个 结构 中 有 对 应 

的 可 执行 文件 的 处 理 函 数 。 大 概 的 过 程 如 下 : 


e 在 用 户 态 执行 了 execve 后 ， 引 发 int 0x80 中 断 ， 进 入 内 核 态 ， 执 行内 
核 态 的 相应 函数 do_sys_execve ， 该 函数 又 调用 do_execve 函数 。 
do_execve 函数 读 入 可 执行 文件 ， 检 查 权 限 ， 如 果 没 问题 ， 继 续 读 入 可 执行 
文件 需要 的 相关 信息 ( struct linux_binprm 描述 的 ) 。 


e 接着 执行 search_binary_handler ， 根 据 可 执行 文件 的 类 型 (由 上 一 步 的 
最 后 确定 ) ， 在 linux_binfmt 结构 链表 ( formats ， 这 个 链表 可 以 通过 
register_binfmt 和 unregister_binfmt 注册 和 删除 某 些 可 执行 文件 的 
言 息 ， 因 此 注册 新 的 可 执行 文件 成 为 可 能 ， 后 面 再 介绍 ) 上 查找 ， 找 到 相应 的 
结构 ， 然 后 执行 相应 的 load_binary 函数 开始 加 载 可 执行 文件 。 在 该 链表 
的 最 后 一 个 元 素 总 是 对 解释 脚本 ( interpreted script ) 的 可 执行 文件 格 
式 进 行 描述 的 一 个 对 象 。 这 种 格式 只 定义 了 load_binary 方法 ， 其 相应 的 
load_script 部 数 检查 这 种 可 执行 文件 是 否 以 两 个 #1! 字符 开始 ， 如果 
是 ， 这 个 函数 就 以 另 一 个 可 执行 文件 的 路 径 名 作为 参数 解释 第 一 行 的 其 余部 
分 ， 并 把 脚本 文件 名 作为 参数 传递 以 执行 这 个 脚本 (实际 上 脚本 程序 把 自身 的 
内 容 当 作 一 个 参数 传递 给 了 解释 程序 (如 /bin/bash ) ， 而 这 个 解释 程序 通 
常 在 脚本 文件 的 开头 用 #1 标记 ， 如 果 没 有 标记 ， 那 么 默认 解释 程序 为 当前 
SHELL ) ° 


e 对 于 ELF 类 型 文件 ， 其 处 理 函数 是 load_elf_binary ， 它 先 读 入 ELF 
文件 的 头 部 ， 根 据 头 部 信息 读 入 各 种 数据 ， 再 次 扫描 程序 段 描述 表 ( Program 
Header Table ) ， 找 到 类 型 为 PT_LOAD 的 段 〈 即 

.text ， .data ， ,bss 等 节 区 ) ， 将 其 映射 ( elf_map ) 到 内 存 的 固 
定 地 址 上 ， 如 果 没 有 动态 连接 器 的 描述 段 ， 把 返回 的 入 口 地 址 设置 成 应 用 程序 
入 口 。 完 成 这 个 功能 的 是 start_thread ， 它 不 启动 一 个 线程 ， 而 只 是 用 来 
修改 了 pt_regs 中 保存 的 PC 等 寄存 器 的 值 ， 使 其 指向 加 载 的 应 用 程序 的 
入 口 。 当 内 核 操 作 结束 ， 返 回 用 户 态 时 接着 就 执行 应 用 程序 本 身 了 。 


o 如 果 应 用 程序 使 用 了 动态 连接 库 ， 内 核 除 了 加 载 指定 的 可 执行 文件 外 ， 还 要 把 
控制 权 交 给 动态 连接 器 ( Id-linux.so ) 以 便 处 理 动态 连接 的 程序 。 内 核 搜 
了 寻 段 表 ( Program Header Table ) ， 找 到 标记 为 PT_INTERP 上 段 中 所 对 应 
的 动态 连接 器 的 名 称 ， 并 使 用 load elf_interp 加 载 其 映像 ， 并 把 返回 的 
入 口 地 址 设置 成 load_elf_interp 的 返回 值 ， 即 动态 链接 器 的 入 口 。 当 


execve 系统 调用 退出 时 ， 动 态 连接 器 接着 运行 ， 它 检查 应 用 程序 对 共 

接 库 的 依赖 性 ， 并 在 需要 时 对 其 加 载 ， 对 程序 的 外 部 引用 进行 重 定 位 yen 
程 见 《进程 和 进程 的 基本 操作 》) 。 然 后 把 控制 权 交 给 应 用 程序 ， 从 ELF OX 
件 头 部 中 定义 的 程序 进入 点 (用 readelf -h 可 以 出 看 到 ， Entry point 

address 即 是 ) 开始 执行 。 (不 过 对 于 非 LIB_BIND NOW 的 共享 库 装 载 是 

在 有 外 部 引用 请 求 时 才 执 行 的 ) 。 


对 于 内 核 态 的 函数 调用 过 程 ， 没 有 办 法 通过 strace 能 跟踪 到 系统 调用 
层 ) 来 做 的 ， 因 此 要 想 跟踪 内 核 中 各 个 系统 调用 的 执行 细节 ， 需 >: 其 他 工具 。 比 

如 可 以 通过 Ftrace 来 跟踪 内 核 具 体 调用 了 哪些 函数 。 当 然 ， res 义 通过 
ctags/cscope/LXR 等 工具 分 析 内 核 的 源 代码 。 


Linux 允许 自己 注册 我 们 自己 定义 的 可 执行 格式 ， 主 要 接口 是 
/procy/sys/fs/binfmt_misc/register ， 可 以 往 里 头 写 入 特定 格式 的 字符 串 来 
实现 。 该 字符 串 格式 如 下 : :name:type:offset:string:mask:interpreter: 


e name 新 格式 的 标示 符 

e type 识别 类 型 ( M 表示 魔 数 ，E 表示 扩展 ) 

e offset 魔 数 ( magic number ， 请 参考 man magic 和 man file ) 在 
文件 中 的 启 始 偏 移 量 

e string 以 魔 数 或 者 以 扩展 名 匹配 的 字 节 序列 

e mask 用 来 屏蔽 掉 string 的 一 些 位 

e interpreter 程序 解释 器 的 完整 路 径 名 


Linux 下 程序 的 内 存 映像 


Linux 下 是 如 何 给 进程 分 配 内 存 (这 里 仅 讨 论 虚 拟 内 存 的 分 配 ) 的 呢 ? 可 以 从 
/proc/<pid>/maps 文件 中 看 到 个 大 概 。 这 里 的 pid 是 进程 号 。 


/proc 下 有 一 个 文件 比较 特殊 ， 是 self ， 它 链接 到 当前 进程 的 进程 号 ， 例 
如 : 


$ ls /proc/self -1 
lrwxrwxrwx 1 root root 64 2000-01-10 18:26 /proc/self -> 11291/ 
$ ls /proc/self -1 
lrwxrwxrwx 1 root root 64 2000-01-10 18:26 /proc/self -> 11292/ 


看 到 没 ? 每 次 都 不 一 样 ， 这 样 我 们 通过 cat /proc/self/maps 就 可 以 看 到 
cat 程序 执行 时 的 内 存 映 像 了 。 


$ cat -n /proc/self/maps 


1 08048000-0804c000 r-xp 00000000 03:01 273716 /bin/ca 
t 

2 0804c000-0804d000 rw-p 00003000 03:01 273716 /bin/ca 
t 

3 0804d000-0806e000 rw-p 0804d000 00:00 0 [heap ] 

4 b7b90000-b7d90000 r--p 00000000 03:01 87528 /usr/1i 


b/locale/locale-archive 


5 b7d90000-b7d91000 rw-p b7d90000 00:00 0 

6 b7d91000-b7ecd000 r-xp 00000000 03:01 466875 /lib/li 
bc-2.5.s0 

7 b7ecd000-b7ece000 r--p 0013c000 03:01 466875 /lib/li 
bc-2.5.s0 

8 b7ece000-b7ed0000 rw-p 0013d000 03:01 466875 /lib/1i 
bc-2.5.s0 

9 b7ed0000-b7ed4000 rw-p b7ed0000 00:00 0 

10 b7eeb000-b7f06000 r-xp 00000000 03:01 402817 /1ib/1d 
-2.5.S0 

11 b7f06000-b7f08000 rw-p 0001b000 03:01 402817 /1ib/1d 
-2.5.S0 

12 bfbe3000-bfbf8000 rw-p bfbe3000 00:00 0 [stack] 

13 ffffe000-fffff000 r-xp 00000000 00:00 0 [vdso ] 


编号 是 原文 件 里 头 没 有 的 ， 为 了 说 明 方 便 ， 用 -n 参数 加 上 去 的 。 我 们 从 中 可 以 
得 到 如 下 信息 : 


e 第 1，2 行 对 应 的 内 存 区 是 我 们 的 程序 (包括 指令 ， 数 据 等 ) 
e 第 3 到 12 行 对 应 的 内 存 区 是 堆栈 段 ， 里 头 也 映像 了 程序 引用 的 动态 连接 库 
e 第 13 行 是 内 核 空间 
总 结 一 下 : 
e 前 两 部 分 是 用 户 空 间 ， 可 以 从 0x00000000 到 9xbfffffff (在 测试 的 
2.6.21.5-smp 上 只 到 bfbf8000 ) ， 而 内 核 空 间 从 Oxcooooee0 到 


Oxffffffff ， 分 别 是 3G6 和 16 ， 所 以 对 于 每 一 个 进程 来 说 ， 共 占用 
4G 的 虚拟 内 存 空间 


e 从 程序 本 身 占用 的 内 存 ， 到 堆栈 段 (动态 获取 内 存 或 者 是 函数 运行 过 程 中 用 来 
存储 局 部 变量 、 参 数 的 空间 ， 前 者 是 heap ， 后 者 是 stack ) ， 再 到 内 核 
空间 ， 地 址 是 从 低 到 高 的 

e 栈 顶 并 非 9xC9000006 下 的 一 个 国定 数值 


结合 相关 资料 ， 可 以 得 到 这 么 一 个 比较 详细 的 进程 内 存 映像 表 (以 Linux 
2.6.21.5-smp 为 例 ) 


地 址 
0xC0000000 


内 核 空 间 


(program flie) 程序 


(environment) 环境 
mm -B 
又 里 


(arguments) 参数 


(stack) 栈 


(shared memory) 共 
享 内 存 


(heap) 堆 


.bss (uninitilized 
data) 


.data (initilized 
global data) 


.text (Executable 
Instructions) 


0x08048000 
0x00000000 


描述 


execve 的 第 一 个 参数 

execve 的 第 三 个 参数 ，main 的 第 三 个 
参数 

execve 的 第 二 个 参数 ，main 的 形 参 


自动 变量 以 及 每 次 函数 调用 时 所 需 保 存 
的 信息 都 


存放 在 此 ， 包 括 部 数 返 回 地 址 、 调 用 者 
的 


环境 信息 等 ， 函 数 的 参数 ， 局 部 变量 都 
存放 在 此 


共享 内 存 的 大 概 位 置 


主要 在 这 里 进行 动态 存储 分 配 ， 比 如 
malloc，new 等 。 


没有 初始 化 的 数据 (全 局 变量 哦 ) 


已 经 初始 化 的 全 局 数据 (全 局 变量 ) 


通常 是 可 执行 指令 


光 看 没有 任何 概念 ， 我 们 用 gdb 来 看 看 刚才 那个 简单 的 程序 。 


$ gcc -g -0 shellcode shellcode.c 


数 
$ gdb -q ./shellcode 


# 要 用 gdb 调 试 ， 在 编译 时 需要 加 -g 参 


(gdb) set args argi arg2 arg3 arg4  # 为 了 测试 ， 设 置 几 个 参数 


(gdb) 1 # 浏 览 代码 
1 /* shellcode.c */ 
2 void main() 


3 { 

4 __asm__ __ volatile ("jmp forward;" 

5 "backward:" 

6 "popl %esi;" 

7 "movl $4, %eax;" 

8 "movl $2, %ebx;" 

9 "movl %esi, %ecx;" 

10 "movl $12, %edx;" 

(gdb) break 4 # 在 汇编 入 口 设 置 一 个 断 点 ， 让 程序 运行 后 停 到 这 
里 

Breakpoint 1 at 0x8048332: file shellcode.c, line 4. 
(gdb) r # 和 运行 程序 


Starting program: /mnt/hda8/Temp/c/program/shellcode argi arg2 a 
rg3 arg4 


Breakpoint 1, main () at shellcode.c:4 


4 __asm__ __ volatile ("jmp forward;" 

(gdb) print $esp # 打 印 当 前 堆栈 指针 值 ， 用 于 查找 整个 栈 的 栈 顶 
$1 = (void *) 0xbffe1584 

(gdb) x/100s $esp+4000 # 改 变 后 面 的 4999， 不 断 往 更 大 的 空间 找 

(gdb) x/1is Oxbffeifd9 # 在 Oxbffeifdo 找到 了 程序 名 ， 这 里 是 该 次 运 
行 时 的 栈 顶 

Oxbffe1fd9: "/mnt/hda8/Temp/c/program/shellcode" 

(gdb) x/10s Oxbffe17b7 # 其 他 环境 变量 信息 

Oxbffei7b7: "CPLUS_INCLUDE_PATH=/usr/lib/qt/include" 
Oxbffei7de: "MANPATH=/usr/local/man: /usr/man: /usr/X11R6/man 
:/usr/lib/java/man: /usr/share/texmf/man" 

Oxbffe1834: "HOSTNAME=falcon.1zu.edu.cn" 

Oxbffe184f: "TERM=xterm" 

Oxbffe185a: "SSH_CLIENT=219.246.50.235 3099 22" 

Oxbffe187c: "QTDIR=/usr/lib/qt" 

Oxbffe188e: "SSH_TTY=/dev/pts/0" 

Oxbffe18a1: "USER=falcon" 


(gdb) x/5s Oxbffe1780 # 一 些 传递 给 main 函 数 的 参数 ， 包 括 文件 名 和 其 他 参 
数 
Oxbffe1780: "/mnt/hda8/Temp/c/program/shellcode" 


Oxbffei7a3: "argi" 


Oxbffei7as8: "arg2" 
Oxbffei7ad: "arg3" 
Oxbffe17b2: "arg4" 


(gdb) print init #47 init BAA xs > RHe/usr/lib/crti.oZkwN H 
数 ， 做 一 些 初始 化 操作 
$2 = {<text variable, no debug info>} Oxb7e73d00 <init> 
(gdb) print fini  # 也 在 /usr/1ib/crti.o 中 定义 ， 在 程序 结束 时 做 一 些 处 理 
NE 
$3 = {<text variable, no debug info>} 0xb7f4a380 <fini> 
(gdb) print _start # 在 /usr/1ib/crt1.o， 这 个 才 是 程序 的 入 口 ， 必 须 的 ，1d 
会 检查 这 个 
$4 = {<text variable, no debug info>} 0x8048280 <__libc_start_ma 
in@p1t+20> 
(gdb) print main  # 这 里 是 我 们 的 main 函 数 

= {void ()} 0x8048324 <main> 


补充 : 在 进程 的 内 存 映 像 中 可 能 看 到 诸如 init > fini > _start 等 函数 (或 
HEAT) ， 这 些 东西 并 不 是 我 们 自己 写 的 啊 ? 为 什么 会 跑 到 我 们 的 代码 里 头 呢 ? 
实际 上 这 些 东 西 是 链接 的 时 候 gcc 默认 给 连接 进去 的 ， 主 要 用 来 做 一 些 进程 的 初 
始 化 和 终止 的 动作 。 更 多 相关 的 细节 可 以 参考 资料 如 何 获取 当前 进程 之 静态 影像 文 
件 和 "The Linux Kernel Primer" > P234 > Figure 4.11， 如 果 想 了 解 链接 (ld) HH 
体 过 程 ， 可 以 看 看 本 节 参 考 《Unix 环 境 高 级 编程 编程 》 第 7 章 "Unlx 进 程 的 环境 "， 
P127 和 P13，ELF: From The Programmer's Perspective > GNU-Id 连接 脚本 
Linker Scripts ° 


上 面 的 操作 对 堆栈 的 操作 比较 少 ， 下 面 我 们 用 一 个 例子 来 演示 栈 在 内 存 中 的 情况 。 


栈 在 内 存 中 的 组 织 


这 一 节 主 要 介绍 一 个 函数 被 调用 时 ， 参 数 是 如 何 传 递 的 ， planes ， 
它们 对 应 的 栈 的 位 置 和 变化 情况 ， 从 而 加 深 对 栈 的 理解 。 peas acta it AT 
的 结果 不 太一 样 (参考 资料 中 没有 edi 和 esi nee ， 再 第 二 部 分 的 一 个 
小 程序 里 头 也 没有 ) ， 可 能 是 gcc 版 本 的 pr 司 源 代码 的 处 理 不 
同 。 我 的 版 本 是 4.1.2 (可 以 通过 gee --version 查看 ) 。 


先 来 一 段 简单 的 程序 ， 这 个 程序 除了 做 一 个 加 法 操作 外 ， 还 复制 了 一 些 字符 串 。 


/* testshellcode.c */ 
#include <stdio.h> ARINEN 
#include <string.h> /* memset, memcpy */ 


#define BUF_SIZE 8 
#ifndef STR_SRC 
# define STR_SRC "AAAAAAA" 


#endif 


int func(int a, int b, int c) 


{ 
int sum = 0; 
char buffer[BUF_SIZE]; 
sum = a + b + ¢c; 
memset(buffer, '\O', BUF_SIZE); 
memcpy(buffer, STR_SRC, sizeof(STR_SRC)-1); 
return sum; 

} 

int main() 

{ 
int sum; 
sum = func(1, 2, 3); 
printf("sum = %d\n", sum); 
return 0; 

} 


上 面 这 个 代码 没有 什么 问题 ， 编 译 执行 一 下 : 


$ make testshellcode 


CC testshellcode.c -o testshellcode 
$ ./testshellcode 
sum = 6 


下 面 调试 一 下 ， 看 看 在 调用 func 后 的 栈 的 内 容 。 


$ gcc -g -o testshellcode testshellcode.c # 为 了 调试 ， 需 要 在 编译 时 加 
-g 选 项 
$ gdb -q ./testshellcode  ”# 启 动 gdb 调 试 


(gdb) set logging on # 如 果 要 记录 调试 过 程 中 的 信息 ， 可 以 把 日 志 记 录 功 能 
打开 

Copying output to gdb.txt. 

(gdb) 1 main # 列 出 源 代 码 

20 

21 return sum; 

22 } 

23 

24 int main() 

25 { 

26 int sum; 

27 

28 sum = func(1, 2, 3); 

29 

(gdb) break 28 ， # 在 调用 func 函 数 之 前 让 程序 停 一 下 ， 以 便 记 录 当 时 的 ebp( 基 指 
针 ) 

Breakpoint 1 at Ox80483ac: file testshellcode.c, line 28. 

(gdb) break func # 设 置 断 点 在 函数 入 口 ， 以 便 逐 步 记录 栈 信 息 

Breakpoint 2 at 0x804835c: file testshellcode.c, line 13. 

(gdb) disassemble main ， # 反 编译 main 函 数 ， 以 便 记 录 调 用 func 后 的 下 一 条 指 
令 地 址 

Dump of assembler code for function main: 


0x0804839b <main+0>: lea Ox4(%esp) , %eCx 
Ox0804839F <maint+4>: and $oxfffffffO, %esp 
0x080483a2 <maint+7>: pushl Oxfffffffc(%ecx) 


0x080483a5 <maint+i0>: push %ebp 
0x080483a6 <mainti1>: mov %esp, %ebp 
0x080483a8 <mainti3>: push %ecx 


0x080483a9 <maint+14>: sub $0x14,%esp 

Ox080483ac <mainti7>: push $0x3 

Ox080483ae <main+19> : push $0x2 

0x080483b0 <maint+21>: push $0x1 

0x080483b2 <main+23>: call 0x8048354 <func> 
0x080483b7 <main+28>: add $Oxc, %esp 

0x080483ba <main+31>: mov %eax, Oxfffffff8(%ebp) 
0x080483bd <main+34>: sub $0x8,%esp 

0x080483c0 <maint+37>: pushl OxffffffF8(%ebp ) 
0x080483c3 <maint+40>: push $0x80484c0 

0x080483c8 <maint+45>: call 0x80482a0 <printf@plt> 
©x080483cd <maint+50>: add $0x10,%esp 

©x080483d0 <maint+53>: mov $0x0, %eax 

0x080483d5 <maint+58>: mov Oxf ffffffc(%ebp) , %ecx 
0x080483d8 <main+61>: leave 

0x080483d9 <maint+62>: lea Oxf ffffffc(%ecx),%esp 
0x080483dc <maint+65>: ret 

End of assembler dump. 

(gdb) r # 和 运行 程序 


Starting program: /mnt/hda8/Temp/c/program/testshellcode 


Breakpoint 1, main () at testshellcode.c:28 

28 sum = func(1, 2, 3); 

(gdb) print $ebp #47 PA func Hz Ay ay AE > BPPrevious frame poi 
nter ° 

$1 = (void *) Oxbf84fdd8 

(gdb) n # 执 行 Cal1 指 令 并 跳 转 到 func 函 数 的 入 口 


Breakpoint 2, func (a=1, b=2, c=3) at testshellcode.c:13 
13 int sum = 0; 
(gdb) n 
16 sum = a + b + C; 
(gdb) x/11x $esp  # 打 印 当前 栈 的 内 容 ， 可 以 看 出 ， 地 址 从 低 到 高 ， 注 意 标记 有 蓝 
色 和 红色 的 值 
# 它 们 分 别 是 前 一 个 栈 基地 址 (ebp) 和 call 调 用 之 后 的 下 一 条 指 


令 的 指针 (eip) 

Oxbf84fd94: 0x00000000 0x00000000 0x080482e0 
0x00000000 

Oxbf84fda4: Oxb7f2bce0 0x00000000 Oxbf84fdd8 


0x080483b7 


Oxbf84fdb4: 


(gdb) n 
为 6 
18 


(gdb) x/11x $esp 
Oxbf84fd94: 


0x00000006 


Oxbf84fda4: 


0x080483b7 


Oxbf84fdb4: 


(gdb) n 
19 


Oxbf84Fd94: 


0x00000006 


Oxbf84fda4: 


0x080483b7 


Oxbf84fdb4: 


(gdb) n 
21 


(gdb) x/11x $esp # 进 行 Copy 以 后 ， 这 两 列 的 值 变 了 ， 大 小 刚好 是 7 个 字 节 ， 最 后 
一 个 字 节 为 '\ 
Oxbf84fd94: 


0x00000006 


Oxbf84fda4: 


0x080483b7 


Oxbf84fdb4: 


(gdb) c 


Continuing. 


sum = 6 


0x00000001 


memset (buffer, 


0x00000000 


Oxb7f2bce0 


0x00000001 


0x00000002 


0x00000003 


# 执 行 Sum = a + b + C， 后 ， 比 较 栈 内 容 第 一 行 ， 第 4 列 ， 由 0 变 


'\O', BUF_SIZE); 

0x00000000 0x080482e0 
0x00000000 9xbf84fdd8 
0x00000002 0x00000003 


memcpy(buffer, STR_SRC, sizeof(STR_SRC)-1); 
(gdb) x/11x $esp # 缓 冲 区 初始 化 以 后 变 成 了 0 


0x00000000 


Oxb7f2bce0 


0x00000001 


return sum; 


0x00000000 


Oxb7f2bce0 


0x00000001 


Program exited normally. 


(gdb) quit 


从 上 面 的 操作 过 程 ， 我 们 可 以 得 出 大 概 的 栈 分 布 ( func 


0x00000000 


0x00000000 


0x00000002 


0x41414141 


0x00000000 


0x00000002 


0x00000000 


Oxbf84fdd8 


0x00000003 


0x00414141 


Oxbf84fdd8 


0x00000003 


函数 结束 之 前 ) 如 下 : 


地 址 值 (hex) 者 寄存 注释 
低地 址 栈 顶 方向 
可 以 看 出 little endian( 小 端 重要 的 
Oxbf84fd98 0x41414141 buff] oes 
Oxbf84fd9c ”0x00414141 buff] 
aT Wi 2 finch a Bk Be 
Oxbf84fda0 0x00000006 sum 7 ate func sh at E K A Ay a8 
Oxbf84fda4 Oxb7f2bce0 esi a ern 
Oxbf84fda8  0x00000000 edi 目的 索引 指针 
Oxbf84fdac Oxbf84fdd8 ebp . oa MEE ARA 
8 > atabe AGE AL > VLE HE 
Oxbf84fdbO 0x080483b7 eip T ee 
Oxbf84fdb4 0x00000001 a 第 一 个 参数 
Oxbf84fdb8 0x00000002 b 第 二 个 参数 
第 三 个 参数 ， 可 见 参 数 是 从 最 后 一 个 
Oxbf84fdbc 0x00000003 c o 
高 地 址 栈 底 方向 


先 说 明 一 下 edi 和 esi 的 由 来 (在 上 面 的 调试 过 程 中 我 们 并 没有 看 到 ) ， 是 


通过 产生 中 间 汇 编 代 码 分 析 得 出 的 。 
$ gcc -S testshellcode.c 


在 产生 的 testShellcode.s 代码 里 头 的 func 部 分 看 到 push ebp 之 后 就 
push 了 edi 和 esi 。 但 是 搜索 了 一 下 代码 ， 发 现 就 这 个 函数 里 头 引 用 了 这 
两 个 寄存 器 ， 所 以 保存 它们 没什么 用 ， 删 除 以 后 编译 产生 目标 代码 后 证 明 是 没 用 
的 。 


$ cat testshellcode.s 
func: 

pushl %ebp 

movl %esp, %ebp 


pushl  %edi 
pushl  %esi 


popl %esi 
popl %edi 
popl %ebp 


下 面 就 不 管 这 两 部 分 ( edi 和 esi ) 了 ， 主 要 来 分 析 和 函数 相关 的 这 几 部 分 在 
栈 内 的 分 布 : 


o 函数 局 部 变量 ， 在 靠近 栈 顶 一 端 

e。 调用 函数 之 前 的 栈 的 基地 址 ( ebp ， Previous Frame Pointer ) ， 在 中 
间 靠 近 栈 顶 方向 

a ee ` (eip) ， 在 中 间 人 靠近 栈 底 的 方向 

e 函数 参数 ， 在 靠近 栈 底 的 一 端 ， 最 后 一 个 参数 最 先入 栈 


到 这 里 ， 函 数 调 用 时 的 相关 内 容 在 栈 内 的 分 布 就 比较 清楚 了 ， 在 具体 分 析 缓 冲 区 洪 
出 问题 之 前 ， 我 们 再 来 看 一 个 和 函数 关系 很 大 的 问题 ， 即 函数 返回 值 的 存储 问题 : 
函数 的 返回 值 存放 在 寄存 器 eax 中 。 


先 来 看 这 段 代 码 : 


7 

* test_return.c -- the return of a function is stored in regist 
er eax 

fd 


#include <stdio.h> 


int func() 


{ 
_asm ("movl $1, %eax"); 

} 

int main() 

{ 
printf ("the return of func: %d\n", func()); 
return 0; 

} 


编译 运行 后 ， 可 以 看 到 返回 值 为 1， 刚 好 是 我 们 在 func HRP mov 到 eax 
中 的 “立即 数 " 1， 因 此 很 容 钨 理解 返回 值 存 储 在 eax 中 的 事实 ， 如 果 还 有 疑虑 ， 
可 以 再 看 看 汇编 代码 。 在 函数 返回 之 后 ， eax 中 的 值 当 作 了 printf 的 参数 压 
入 了 栈 中 ， 而 在 源 代码 中 我 们 正 是 把 func 的 结果 作为 printf 的 第 二 个 参数 
的 。 


$ make test_return 

cc test_return.c -o test_return 
$ ./test_return 

the return of func: 1 

$ gcc -S test_return.c 

$ cat test_return.s 


call func 

subl $8, %esp 

pushl %eax #printf 的 第 二 个 参数 ， 把 func 的 返回 值 压 入 了 栈 
底 

pushl $.LCO #printf 的 第 一 个 参数 the return of func: % 
d\n 


call printf 


对 于 系统 调用 ， 返 回 值 也 存储 在 eax 寄存 器 中 。 
缓冲 区 溢出 


实例 分 析 : 字符 囊 复制 


先 来 看 一 段 简短 的 代码 。 


/* testshellcode.c */ 
#include <stdio.h> ARINEN 
#include <string.h> /* memset, memcpy */ 


#define BUF_SIZE 8 

#ifdef STR1 

# define STR_SRC "AAAAAAA\O\1\0O\0\0" 
#endif 

#ifndef STR _SRC 

# define STR_SRC "AAAAAAA" 


#endif 


int func(int a, int b, int c) 


{ 
int sum = 0; 
char buffer[BUF_SIZE]; 
sum = a + b + cC; 
memset(buffer, '\O', BUF_SIZE); 
memcpy(buffer, STR _SRC, sizeof(STR_SRC)-1); 
return sum; 
} 
int main() 
{ 
int sum; 
sum = func(1, 2, 3); 
printf ("sum = %d\n", sum); 
return 0; 
} 


编译 一 下 看 看 结果 : 


$ gcc -DSTR1 -o testshellcode testshellcode.c # 通 过 -D 定 义 安 STR1， 
从 而 采用 第 一 个 STR_SRC 的 值 

$ ./testshellcode 

sum = 1 


不 知道 你 有 没有 发 现 异 常 呢 ? 上面 用 红色 标记 的 地 方 ， 本 来 sum A 1+2+3 PP 

6， 但 是 实际 返回 的 竟然 是 1。 到 底 是 什么 原因 呢 ? 大 家 应 该 有 所 了 解 了 ， 因 为 我 

们 在 复制 字符 串 AAAAAAA\\O\\A\\O\\O\\0 到 buf 的 时 候 超 出 buf 本 来 的 

大 小 。 buf 本 来 的 大 小 是 BUF_SIZE ，8 个 字 节 ， 而 我 们 要 复制 的 内 容 是 12 个 
字 节 ， 所 以 超出 了 四 个 字 节 。 根 据 第 一 小 节 的 分 析 ， 我 们 用 栈 的 变化 情况 来 表示 一 
下 这 个 复制 过 程 ( 即 执行 memcpy 的 过 程 ) © 


memcpy(buffer, STR _SRC, sizeof(STR_SRC)-1); 


(低地 址 ) 

复制 之 前 ====> 复制 之 后 

0x00000000 0x41414141 #char buf[8] 
0x00000000 0x00414141 

0x00000006 0x00000001 #int sum 

(高 地 址 ) 


下 面 通过 gdb 调试 来 确认 一 下 (只 摘录 了 一 些 片断 ) 。 


$ gcc -DSTR1 -g -o testshellcode testshellcode.c 
$ gdb -q ./testshellcode 


(gdb) 1 


21 

22 memset(buffer, '\O', BUF_SIZE); 

23 memcpy(buffer, STR_SRC, sizeof(STR_SRC)-1); 
24 

25 return sum; 


(gdb) break 23 

Breakpoint 1 at 0x804837f: file testshellcode.c, line 23. 
(gdb) break 25 

Breakpoint 2 at 0x8048393: file testshellcode.c, line 25. 
(gdb) r 

Starting program: /mnt/hda8/Temp/c/program/testshellcode 


Breakpoint 1, func (a=1, b=2, c=3) at testshellcode.c:23 


23 memcpy(buffer, STR _SRC, sizeof(STR_SRC)-1); 
(gdb) x/3x $esp+4 

Oxbfecé6bds: 0x00000000 0x00000000 0x00000006 
(gdb) n 


Breakpoint 2, func (a=1, b=2, c=3) at testshellcode.c:25 
25 return sum; 

(gdb) x/3x $esp+4 

Oxbfec6bd8: 0x41414141 0x00414141 0x00000001 


可 以 看 出 ， 因 为 C 语言 没有 对 数组 的 边界 进行 限制 。 我 们 可 以 往 数组 中 存 入 预定 义 
长 度 的 字符 串 ， 从 而 导致 缓冲 区 溢出 。 


缓冲 区 溢出 后 果 


溢出 之 后 的 问题 是 导致 复 盖 栈 的 其 他 内 容 ， 从 而 可 能 改变 程序 原来 的 行为 。 


如 果 这 类 问题 被 "黑客 "利用 那 将 产生 非常 可 怕 的 后 果 ， 人 小 则 让 非法 用 户 获取 了 系统 
权限 ， 把 你 的 服务 器 当成 “僵尸 ”， 用 来 对 其 他 机 器 进行 攻击 ， 严 重 的 则 可 能 被 人 删 
除数 据 (所 以 备份 很 重要 ) 。 即 使 不 被 黑客 利用 ， 这 类 问题 如 果 放 在 医疗 领域 ， 那 


将 非常 危险 ， 可 能 那个 被 覆盖 的 数字 刚好 是 用 来 控制 治疗 癌症 的 辐射 量 的 ， 一 旦 出 
错 ， 那 可 能 导致 置 人 死地 ， 当 然 ， 如 果 在 航天 领域 ， 那 可 能 就 是 好 多 个 0 的 
money 甚至 航天 员 的 损失 ， 呵 呵 ，“ 缓 冲 区 溢出 ， 后 果 很 严重 1 ” 


缓冲 区 溢出 应 对 策略 


那 这 办 呢 ? 貌 似 Linux 下 缓冲 区 溢出 攻击 的 原理 及 对 策 提 到 有 一 个 
ee Ri 
ee > 为 了 保护 sum 不 被 修改 ， 有 一 个 小 技巧 ， 可 以 让 求 和 操作 在 字 

符 串 复制 操作 之 后 来 做 ， 以 便 求 和 操作 把 溢出 的 部 分 给 重 写 。 这 个 采 伙 在 下 面 一 块 
Was 


先 来 看 看 这 个 代码 ， 还 是 testShellcode.c 的 改进 


/* testshellcode.c */ 

#include <stdio.h> 7° on */ 
#include <string.h> /* memset, memcpy */ 
#define BUF_SIZE 8 


#ifdef STR1 

# define STR_SRC "AAAAAAAa\1\0\0\0" 

#endif 

#ifdef STR2 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBB" 
#endif 

#ifdef STR3 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBBCCCC" 
#endif 

#ifdef STR4 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBBCCCCDDDD" 
#endif 


#ifndef STR _SRC 
# define STR_SRC "AAAAAAA" 
#endif 


int func(int a, int b, int c) 


{ 


int sum = 0; 


char buffer[BUF_SIZE] = ""; 


memset(buffer, '\O', BUF_SIZE); 
memcpy(buffer, STR_SRC, sizeof(STR_SRC)-1); 


sum =a + b+c; // 把 求 和 操作 放 在 复制 操作 之 后 可 以 在 一 定 情况 
下 “保护 ^ 求 和 结果 


return sum; 


} 

int main() 

{ 
int sum; 
sum = func(1, 2, 3); 
printf("sum = %d\n", sum); 
return 0; 

} 


看 看 运行 情况 : 


$ gcc -D STR2 -o testshellcode testshellcode.c  # 再 多 复制 8 个 字 节 ， 
结果 和 STR1 时 一 样 
# 原 因 是 edi ,esi 这 两 个 没什么 用 的 ， 履 盖 了 也 没关系 


$ ./testshellcode # 看 到 没 ? 这 种 情况 下 ， 让 整数 操作 在 字符 串 复 制 之 后 
做 可 以 4 保护 4 整数 结果 
Sum = 6 


$ gcc -D STR3 -o testshellcode testshellcode.c # 再 多 复制 4 个 字 节 ， 
现在 就 会 把 ebp 给 履 盖 

# 了 ， 这 样 当 main 有 函数 
再 要 用 ebp 访问 数据 

# 时 就 会 出 现 访 问 非法 内 
存 而 导致 段 错误 。 
$ ./testshellcode 
Segmentation fault 


如 果 感 兴趣 ， 自 己 还 可 以 用 gdb 类 似 之 前 一 样 来 查看 复制 字符 串 以 后 栈 的 变化 情 
况 。 

如 何 保 护 ebp 不 被 修改 

下 面 来 做 一 个 比较 有 趣 的 事情 : 如 何 设法 保护 我 们 的 ebp 不 被 修改 。 


首先 要 明确 ebp 这 个 寄存 器 的 作用 和 “行为 "， 它 是 栈 基 地 址 ， 并 且 发 现在 调用 任 
何 一 个 函数 时 ， 这 个 ebp 总 是 在 第 一 条 指令 被 压 入 栈 中 ， 并 在 最 后 一 条 指令 
( ret ) 之 前 被 弹出 。 类 似 这 样 : 


func : # HH 
pushl %ebp # 第 一 条 指令 
popl %ebp # 倒 数 第 二 条 指令 
ret 


ee ee i eax 寄存 器 中 的 么 ?如 果 
我 们 在 一 个 函数 中 仅仅 做 放 这 两 条 指令 


popl %eax 
pushl %eax 


那 不 就 刚好 有 : 
func : HBA 
pushl %ebp # 第 一 条 指令 
popl %eax # 把 刚 压 入 栈 中 的 ebp 弹出 存放 到 eax 中 
pushl %eax # 又 把 ebpp 压 入 栈 
popl %ebp # 倒 数 第 二 条 指令 
ret 


这 样 我 们 没有 改变 栈 的 状态 ， 却 获得 了 ebp 的 值 ， 如 果 在 调用 任何 一 个 函数 之 
前 ， 获 取 这 个 ebp ， 并 且 在 任何 一 条 字符 串 复 制 语句 (可 能 导致 缓冲 区 溢出 的 语 
J) 之 后 重新 设置 一 下 ebp Hii > 那么 就 可 以 保护 ebp Bo PAEA EA 
呢 ? 看 这 个 代码 。 


/* testshellcode.c */ 

#include <stdio.h> A SONE EIE E 
#include <string.h> /* memset, memcpy */ 
#define BUF_SIZE 8 


#ifdef STR1 

# define STR_SRC "AAAAAAAa\1\0\0\0" 

#endif 

#ifdef STR2 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBB" 
#endif 

#ifdef STR3 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBBCCCC" 
#endif 

#ifdef STR4 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBBCCCCDDDD" 
#endif 


#ifndef STR_SRC 
# define STR_SRC "AAAAAAA" 
#endif 


unsigned long get_ebp() 
{ 


asm _ ("popl %eax;" 


"pushl %eax;"); 


int func(int a, int b, int c, unsigned long ebp) 
{ 

int sum = 0; 

char buffer[BUF_SIZE] = ""; 


sum = a + b + C; 

memset(buffer, '\O', BUF_SIZE); 
memcpy(buffer, STR _SRC, sizeof(STR_SRC)-1); 
* (unsigned long *)(buffer+20) = ebp; 

return sum; 


int main() 


{ 
int sum, ebp; 
ebp = get_ebp(); 
sum = func(1, 2, 3, ebp); 
printf("sum = %d\n", sum); 
return 0; 

} 


这 段 代 码 和 之 前 的 代码 的 不 同 有 : 


。 给 func 函数 增加 了 一 个 参数 ebp > (其 实 可 以 用 全 局 变量 替代 的 ) 
e 利用 了 刚 介 绍 的 原理 定义 了 一 个 函数 get_ebp 以 便 获 取 老 的 ebp 
e 在 main 有 函数 中 调用 func 之 前 调用 了 get_ebp ， 并 把 它 作 为 func 的 


最 后 一 个 参数 
e 在 func 函数 中 调用 memcpy n (可 能 发 生 缓 冲 区 溢出 的 地 方 ) 之 后 添 
加 了 一 条 恢复 设置 ebp 的 语句 ， 这 条 语句 先 把 buffer+20 这 个 地 址 (F 


放 ebp 的 地 址 ， 你 eee 分 提 到 的 用 gdb 来 查看 ) 强制 转换 为 
指向 一 个 unsigned long 型 的 整数 〈4 个 字 节 ) ， 然 后 把 它 指向 的 内 容 修 改 


为 老 的 ebp 。 


看 看 效果 : 
$ gcc -D STR3 -o testshellcode testshellcode.c 
$ ./testshellcode # 现 在 没有 段 错误 了 吧 ， 因 为 ebp 得 到 了 7 保护 7 
sum = 6 


如 何 保 护 eip 不 被 修改 ? 


如 果 我 们 复制 更 多 的 字 节 过 去 了 ， 比 如 再 多 复制 四 个 字 节 进 去 ， 那 么 eip RAB 
Aye 


$ gcc -D STR4 -o testshellcode testshellcode.c 
$ ./testshellcode 
Segmentation fault 


同样 会 出 现 段 错误 ， 因 为 下 一 条 指令 的 位 置 都 被 改写 了 ， func 返回 后 都 不 知道 
要 访问 哪个 "非法 "地址 啦 。 呵 呵 ， 如 果 是 一 个 合法 地 址 呢 ? 


如 果 在 缓冲 区 溢出 时 ， eip 被 覆盖 了 ， 并 且 被 修改 为 了 一 条 合法 地 址 ， 那 么 问题 
就 非常 "有趣 “了 。 如 果 这 个 地 址 刚好 是 调用 func 的 那个 地 址 ， 那 么 整个 程序 就 成 了 
死 循环 ， 如 果 这 个 地 址 指向 的 位 置 刚好 有 一 段 关机 代码 ， 那 么 系统 正在 运行 的 所 有 
服务 都 将 被 关 掉 ， 如 果 那 个 地 方 是 一 段 更 恶意 的 代码 ， 那 就 ?你 可 以 尽情 想像 哦 。 
如 果 是 黑客 故意 利用 这 个 ， 那 么 那些 代码 貌似 就 叫做 shellcode 了 。 


有 没有 保护 eip 的 办 法 呢 ? 呵呵， 应 该 是 有 的 吧 。 不 知道 gas 有 没有 类 似 
masm 汇编 器 中 offset 的 伪 操 作 指 令 >o RUAA) ， 如 果 有 的 话 


在 函数 调用 之 前 设置 一 个 标号 ， 在 后 面 茶 置 获取 ， 再 加 上 一 个 可 能 的 偏 移 ( 包 
括 call 指令 的 长 度 和 一 些 push 指令 ， 应 该 可 以 算出 来 ， 不 过 貌似 比较 
厅 烦 (或 许 你 灵感 大 作 ， 找 到 好 办 法 了 1 ) ， 这 里 直接 通过 gdb KEAR EH 


对 main 的 偏 移 算 出 来 得 了 。 求 出 来 以 后 用 它 来 "保护 “ 栈 中 的 值 。 
看 看 这 个 代码 : 


/* testshellcode.c */ 

#include <stdio.h> /* printf */ 
#include <string.h> /* memset, memcpy */ 
#define BUF_SIZE 8 


#ifdef STR1 

# define STR_SRC "AAAAAAAa\1\0\0\0" 

#endif 

#ifdef STR2 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBB" 
#endif 

#ifdef STR3 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBBCCCC" 
#endif 

#ifdef STR4 

# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBBCCCCDDDD" 


#endif 
#ifndef STR _SRC 
# define STR_SRC "AAAAAAA" 


#endif 


int main(); 


#define OFFSET 40 


unsigned long get_ebp() 


"pushl %eax;"); 


unsigned long ebp) 


ebp; 
(unsigned long)main+OFFS 


{ 
__asm__ ("popl %eax;" 
} 
int func(int a, int b, int c, 
{ 
int sum = 0; 
char buffer[BUF_SIZE] = ""; 
memset(buffer, '\O', BUF_SIZE); 
memcpy(buffer, STR _SRC, sizeof(STR_SRC)-1); 
sum = a + b + C; 
* (unsigned long *)(buffer+20) 
* (unsigned long *)(buffer+24) 
El; 
return sum; 
} 
int main() 
{ 
int sum, ebp; 
ebp = get_ebp(); 
sum = func(1, 2, 3, ebp); 


printf ("sum = %d\n", sum); 


return 0; 


看 看 效果 : 


$ gcc -D STR4 -o testshellcode testshellcode.c 
$ ./testshellcode 
sum = 6 


这 样 ， EIP WATS] T “RAP” (ANA ERB > AY) 。 


类 似 地 ， 如 果 再 多 复制 一 些 内 容 呢 ?那么 栈 后 面 的 内 容 都 将 被 覆盖 ， 即 传递 给 
func 函数 的 参数 都 将 被 和 覆盖 ， 因 此 上 面 的 方法 ， 包 括 所 谓 的 对 sum 和 ebp 
等 值 的 保护 都 没有 任何 意义 了 (如果 再 对 后 面 的 参数 进行 进一步 的 保护 呢 ? AHA 
点 意义 ， 呵 呵 ) 。 在 这 里 ， 之 所 以 提出 类 似 这 样 的 保护 方法 ， 实 际 上 只 是 为 了 讨论 
一 些 有 趣 的 细节 并 加 深 对 缓冲 区 溢出 这 一 问题 的 理解 (或 许 有 一 些 实际 的 价值 哦 ， 
算是 抛砖引玉 吧 ) o 


缓冲 区 溢出 检测 


要 确实 解决 这 类 问题 ， 从 主观 上 讲 ， 还 得 程序 员 来 做 相关 的 工作 ， 比 如 限制 将 要 复 
制 的 字符 串 的 长 度 ， 保 证 它 不 超过 当初 申请 的 缓冲 区 的 大 小 。 


例如 ， 在 上 面 的 代码 中 ， 我 们 在 memcpy 之 前 ， 可 以 加 入 一 个 判断 ， 并 且 可 以 对 
缓冲 区 溢出 进行 很 好 的 检查 。 如 果 能 够 设计 一 些 比 较 好 的 测试 实例 把 这 些 判断 履 盖 
到 ， 那 么 相关 的 问题 就 可 以 得 到 比较 不 错 的 检查 了 。 


/* testshellcode.c */ 


#include <stdio.h> 7 me 
#include <string.h> /* memset, memcpy */ 
#include <stdlib.h> Va texit: 


#define BUF_SIZE 8 
#ifdef STR4 
# define STR_SRC "AAAAAAAa\1\0\0\OBBBBBBBBCCCCDDDD" 


#endif 


#ifndef STR_SRC 


# define STR_SRC "AAAAAAA" 
#endif 


int func(int a, int b, int c) 


{ 
int sum = 0; 
char buffer[BUF_SIZE] = ""; 


memset(buffer, '\O', BUF_SIZE); 
if ( sizeof(STR_SRC)-1 > BUF_SIZE ) { 
printf("buffer overflow! \n"); 
exit(-1); 
} 
memcpy(buffer, STR_SRC, sizeof(STR_SRC)-1); 
sum = a + b + C; 
return sum; 
int main() 
{ 
int sum; 
sum = func(1, 2, 3); 


printf("sum = %d\n", sum); 


return 0; 


现在 的 效果 如 下 : 


$ gcc -DSTR4 -g -o testshellcode testshellcode.c 

$ ./testshellcode # 如 果 存 在 溢出 ， 那 么 就 会 得 到 阻止 并 退出 ， 从 而 阻止 可 
能 的 破坏 

buffer overflow! 

$ gcc -g -o testshellcode testshellcode.c 

$ ./testshellcode 

sum = 6 


当然 ， 如 果 能 够 在 C 标准 里 头 加 入 对 数组 操作 的 限制 可 能 会 更 好 ， 或 者 在 编译 器 中 
扩展 对 可 能 引起 绥 冲 区 溢出 的 语法 检查 。 


Se TP REA Bil 


给 出 一 个 利用 上 述 缓 冲 区 溢出 来 进行 缓冲 区 注入 的 例子 。 也 就 是 通过 往 某 个 组 
a. > 并 把 eip 修 改 为 这 些 代 码 的 入 口 从 而 达到 破坏 目标 程序 行为 的 目 
的 。 


这 个 例子 来 自 Linux 下 缓冲 区 溢出 攻击 的 原理 及 对 策 ， 这 里 主要 利用 上 面 介 绍 的 知 
识 对 它 进 行 了 比较 详细 的 分 析 。 


准备 : 把 C 语言 函数 转换 为 字符 串 序 列 


首先 回 到 第 一 部 分 ， 看 看 那个 Shellcode.c 程序 。 我 们 想 获取 它 的 汇编 代码 ， 
并 以 十 六 进 制 字 节 的 形式 输出 ， 以 便 把 这 些 指令 当 字 符 串 存放 起 来 ， 从 而 作为 缓冲 
区 注入 时 的 输入 字符 串 。 下 面 通过 gdb 获取 这 些 内 容 。 


$ gcc -g -0 shellcode shellcode.c 

$ gdb -q ./shellcode 

(gdb) disassemble main 

Dump of assembler code for function main: 


0x08048331 <main+13>: push %ecx 

0x08048332 <maint+14>: jmp 0x8048354 <forward> 
0x08048334 <main+16>: pop %esi 

0x08048335 <main+17>: mov $0x4, %eax 
0x0804833a <main+22>: mov $0x2, %ebx 
0x0804833f <main+27>: mov %esi,%ecx 


0x08048341 <maint+29>: mov $Oxc, %edx 
0x08048346 <maint+34>: int $0x80 

0x08048348 <main+36>: mov $0x1, %eax 
0x0804834d <maint+41>: mov $0x0, %ebx 
0x08048352 <maint+46>: int $0x80 

0x08048354 <forward+O0>: call 0x8048334 <main+16> 
0x08048359 <forward+5>: dec %eax 

0x0804835a <forward+6>: gs 

0x0804835b <forward+7>: insb (%dx),%es:(%edi) 
0x0804835c <forward+8>: insb (%dx),%es: (%edi) 
0x0804835d <forward+9>: outsl %ds:(%esi), (%dx) 





0x0804835e <forward+10>: and %d1, 0x6f (%edi) 

0x08048361 <forward+13>: jb 0x80483cf <_ libc_csu_ini 
t+79> 

0x08048363 <forward+15>: or %fs: (%eax),%al 


End of assembler dump. 

(gdb) set logging on  # 开 启 日 志 功 能 ， 记 录 操 作 结 果 

Copying output to gdb.txt. 

(gdb) x/52bx mainti4  # 以 十 六 进 制 单字 节 (字符 ) 方式 打印 出 shellcode 的 核 
心 代码 


0x8048332 <main+14>: Oxeb 0x20 Ox5e Oxb8 0x04 
0x00 0x00 0x00 
0x804833a <main+22>: Oxbb 0x02 0x00 0x00 0x00 
0x89 Oxf1 Oxba 
0x8048342 <main+30>: OxOC 0x00 0x00 0x00 Oxcd 
0x80 Oxb8 0x01 
0x804834a <main+38>: 0x00 0x00 0x00 Oxbb 0x00 
0x00 0x00 0x00 
0x8048352 <main+46>: @xcd 0x80 Oxe8 @xdb Oxf Ff 


Oxf Ff Oxf fF 0x48 

0x804835a <forward+6>: 0x65 Ox6c Ox6c Ox6f 0x20 

0x57 Ox6f 0x72 

0x8048362 <forward+14>: Ox6c 0x64 Ox0a 0x00 

(gdb) quit 

$ cat gdb.txt | sed -e "s/^.*://g;s/\t/\\\/g;s/^/\"/g;s/\$/\"/g" 
# 把 日 志 里 头 的 内 容 处 理 一 下 ， 得 到 这 样 一 个 字符 串 

"\Oxeb\Ox20\0x5e\0xb8\0x04\0x00\0x00\0x00" 

"\Oxbb\0x02\0x00\0x00\0x00\0x89\0xf1\0xba" 

"\OxOc\Ox00\0x00\0x00\Oxcd\Ox80\0xb8\0x01" 


"\Ox00\0x00\0x00\0xbb\Ox00\0x00\0x00\0x00" 
"\Oxcd\Ox80\0xe8\Oxdb\OxfF\OxFF\OxFF\Ox48" 
"\Ox65\0x6C\Ox6C\Ox6F\Ox20\0x57\Ox6F\0x72" 
"\Ox6C\0x64\0x0a\0x00" 


注入 :在 C 语 言 中 执行 字符 串 化 的 代码 
得 到 上 面 的 字符 串 以 后 我 们 就 可 以 设计 一 段 下 面 的 代码 啦 。 


/* testshellcode.c */ 

char shellcode[ ]="\xeb\x20\x5e\xb8\x04\x00\x00\x00" 
"\xbb\x02\x00\x00\x00\x89\xf1\xba" 
"\xOc\xO0O\xO0\x0O0\xcd\x80\xb8\x01" 
"\x00\x00\x00\xbb\x00\x00\x00\x00" 
"\xcd\x80\xe8\xdb\xff\xff\xff\x48" 
"\x65\x6c\x6c\x6f\x20\x57\x6f\x72" 
"\xX6C\x64\x0a\x00"; 


void callshellcode(void) 


{ 
int *ret; 
ren = (int *)&ret ger 2 
(*ret) = (int)shellcode; 
} 
int main() 
{ 
callshellcode(); 
return 0; 
} 
运行 看 看 ， 


$ gcc -o testshellcode testshellcode.c 
$ ./testshellcode 
Hello World 


竟然 打印 出 了 Hello world ， 实 际 上 ， 如 果 只 是 为 了 让 Shellcode 执行 ， 有 
更 简单 的 办 法 ， 直 接 把 Shellcode 这 个 字符 串 入 口 强制 转换 为 一 个 函数 入 口 ， 
并 调用 就 可 以 ， 上 有 具体 见 这 段 代 码 。 


char shellcode[ ]="\xeb\x20\x5e\xb8\x04\x00\x00\x00" 
"\xbb\x02\x00\x00\x00\x89\xf1\xba" 
"\xOc\xO0O\xO0\x0O\xcd\x80\xb8\x01" 
"\x00\x00\x00\xbb\x00\x00\x00\x00" 
"\xcd\x80\xe8\xdb\xff\xff\xff\x48" 
"\x65\x6c\x6c\x6f\x20\x57\x6f \x72" 
"\xX6C\x64\x0a\x00"; 


typedef void (* func)(); // 定 义 一 个 指向 函数 的 指针 func， 而 
函数 的 返回 值 和 参数 均 为 Void 


int main() 


{ 
(* (func)shellcode)(); 
return 0; 
} 
注入 原理 分 析 


这 里 不 那样 做 ， 为 什么 也 能 够 执行 到 Shellcode 呢 ? 和 仔细 分 析 一 下 
callShellcode 里 头 的 代码 就 可 以 得 到 原因 了 。 


tnt "ret: 


这 里 定义 了 一 个 指向 整数 的 指针 ， ret 占用 4 个 字 节 (可 以 用 sizeof(int *) 
算出 ) 。 


ret = (int *)&ret + 2; 


这 里 把 ret 修改 为 它 本 身 所 在 的 地 址 再 加 上 两 个 单位 。 首先 需要 求 出 ret 本 
身 所 在 的 位 置 ， 因 为 ret 是 函数 的 一 个 局 部 变量 ， 它 在 栈 中 偏 栈 顶 的 地 方 。 然 
ER? 再 增加 两 个 单位 ， 这 个 单位 是 sizeof(int) ， 即 4 个 字 节 。 这 样 ， 新 的 
ret 就 是 ret 所 在 的 位 置 加 上 8 个 字 节 ， 即 往 栈 底 方 向 偏 移 8 个 字 节 的 位 置 。 
对 于 我 们 之 前 分 析 的 ”Shellcode ， 那 里 应 该 是 edi ， 但 实际 上 这 里 并 不 是 
edi ， 可 能 是 gcc 在 编译 程序 时 有 不 同 的 处 理 ， 这 里 实际 上 刚好 是 eip ， 即 
执行 这 条 语句 之 后 ret 的 值 变 成 了 eip 所 在 的 位 置 。 


(*ret) = (int)shellcode; 


由 于 之 前 ret 已 经 被 修改 为 了 eip 所 在 的 位 置 ， 这 样 对 (*ret) 赋值 就 会 修 
改 eip 的 值 ， 即 下 一 条 指令 的 地 址 ， 这 里 把 eip 修改 为 了 Shellcode 的 入 
口 。 因 此 ， 当 函数 返回 时 直接 去 执行 Shellcode 里 头 的 代码 ， 并 打印 了 Hello 
World ° 


用 gdb 调试 一 下 看 看 相关 变量 的 值 的 情况 。 这 里 主要 关心 ret 本 身 。 ret 


本 身 是 一 个 地 址 ， 首 先 它 所 在 的 位 置 变 成 了 EIP 所 在 的 位 置 (把 它 自己 所 在 的 位 
置 加 上 2*4 以 后 赋 于 自己 ) ， 然 后 ，EIP 又 指向 了 Shellcode 处 的 代码 。 


$ gcc -g -o testshellcode testshellcode.c 
$ gdb -q ./testshellcode 


(gdb) 1 

8 void callshellcode(void) 
9 { 

10 int *ret; 

11 ret = (int *)&ret + 2; 
12 (*ret) = (int)shellcode; 
13 } 

14 

15 int main() 

16 { 

17 callshellcode(); 


(gdb) break 17 
Breakpoint 1 at 0x804834d: file testshell.c, line 17. 
(gdb) break 11 
Breakpoint 2 at 0x804832a: file testshell.c, line 11. 
(gdb) break 12 
Breakpoint 3 at 0x8048333: file testshell.c, line 12. 


(gdb) break 13 

Breakpoint 4 at 0x804833d: file testshell.c, line 13. 
(gdb) r 

Starting program: /mnt/hda8/Temp/c/program/testshell 


Breakpoint 1, main () at testshell.c:17 


17 callshellcode(); 
(gdb) print $ebp # 打 印 ebp 寄 存 器 里 的 值 


$1 = (void *) Oxbfcfd2c8 
(gdb) disassemble main 


0x0804834d <maint+14>: call 0x8048324 <callshellcode> 
0x08048352 <maint+19>: mov $0x0, %eax 


(gdb) n 


Breakpoint 2, callshellcode () at testshell.c:11 


11 ret = (int *)&ret + 2; 

(gdb) x/6x $esp 

Oxbfcfd2ac: 0x08048389 Oxb7f4eff4 Oxbfcfd36c 
Oxbfcfd2d8 

Oxbfcfd2bc: Oxbfcfd2c8 0x08048352 


(gdb) print &ret # 分 别 打 印 出 ret 所 在 的 地 址 和 ret 的 值 ， 刚 好 在 ebp 之 上 ， 我 们 
发 现 这 里 并 没有 
# 之 前 的 testshellcode 代 码 中 的 edi 和 esi， 可 能 是 gcc 在 汇编 的 时 候 有 不 
同 处 理 。 
$2 = (int **) Oxbfcfd2b8 
(gdb) print ret 
$3 = (int *) Oxbfcfd2d8 # 这 里 的 ret 是 个 随机 值 
(gdb) n 


Breakpoint 3, callshellcode () at testshell.c:12 
12 (*ret) = (int)shellcode; 
(gdb) print ret  # 执 行 完 ret = (int *)@ret + 2; 后 ，ret 变 成 了 自己 地 址 
加 上 2*4， 
# 刚 好 是 eip 所 在 的 位 置 。 
$5 = (int *) Oxbfcfd2co 
(gdb) x/6x $esp 
Oxbfcfd2ac: 0x08048389 Oxb7f4ef F4 Oxbfcfd36c 
Oxbfcfd2co0 


Oxbfcfd2bc: Oxbfcfd2c8 0x08048352 

(gdb) x/4x *ret  # 此 时 *ret 刚 好 为 eip，Qx8048352 

0x8048352 <main+19>: 0x000000b8 0x8d5d5900 0x90c3fc 
61 0x89559090 

(gdb) n 


Breakpoint 4, callshellcode () at testshell.c:13 


13 } 

(gdb) x/6x $esp # 现 在 eip 被 修改 为 了 shellcode 的 入 口 

Oxbfcfd2ac: 0x08048389 Oxb7f4eff4 Oxbfcfd36c 
Oxbfcfd2coO 

Oxbfcfd2bc: Oxbfcfd2c8 0x8049560 


(gdb) x/4x *ret  # 现 在 修改 了 (*ret) 的 值 ， 即 修改 了 eip 的 值 ， 使 eip 指 向 了 sh 
ellcode 

0x8049560 <shellcode>: Oxb85e20eb 0x00000004 0x000002 
bb Oxbafi8900 


上 面 的 过 程 很 难 弄 ， 呵 呵 。 主 要 是 指针 不 大 好 理解 ， 如 果 直 接 把 它 当 地 址 绘 出 下 面 
的 图 可 能 会 容易 理解 一 些 。 


callshellcode 栈 的 初始 分 布 : 


ret=(int *)&ret+2=0xbfcfd2bc+2*4=0xbfcfd2c0 


Oxbfcfd2b8 ret( 随 机 值 ) Oxbfcfd2c0 
Oxbfcfd2bc ebp( 这 里 不 关心 ) 
9xbfcfd2cg eip(0x08048352) eip(0x8049560 ) 


(*ret) = (int)shellcode; ’Peip=0x8049560 


总 之 ， 最 后 体现 为 函数 调用 的 下 一 条 指令 指针 ( eip ) 被 修改 为 一 段 注 入 代码 的 
入 口 ， 从 而 使 得 函数 返回 时 执行 了 注入 代码 。 


PR EAS IT 


这 个 程序 里 头 的 注入 代码 和 被 注入 程序 竟然 是 一 个 程序 ， 傻 瓜 才 自己 攻击 自己 (不 
过 有 些 黑客 有 可 能 利用 程序 中 一 些 空闲 空间 注入 代码 哦 ) > REMY REA 
是 分 开 的 ， 比 如 作为 被 注入 程序 的 一 个 字符 串 参 数 。 而 在 被 注入 程序 中 刚好 没有 做 
字符 串 长 度 的 限制 ， 从 而 让 这 段 字 符 串 中 的 一 部 分 修改 了 eip ， 另 外 一 部 分 作为 


注入 代码 运行 了 ， 从 而 实现 了 注入 的 目的 。 不 过 这 会 涉及 到 一 些 技巧 ， 即 如 何刚 好 
用 注入 代码 的 入 口 地 址 来 修改 eip 【〔 即 新 的 eip 能 够 指向 注入 代码 ) ? 如 果 
eip 的 位 置 和 缓冲 区 的 位 置 之 问 的 距离 是 确定 ， 那 么 就 比较 好 处 理 了 ， 但 从 上 面 
的 两 个 例子 中 我 们 发 现 ， 有 一 个 编译 后 有 edi 和 esi ， 而 另外 一 个 则 没有 ， 另 
外 ， 缓 冲 区 的 位 置 ， 以 及 被 注入 程序 有 多 少 个 参数 我 们 都 无 法 预知 ， 因 此 ， 如 何 计 
算 eip 所 在 的 位 置 呢 ? 这 也 会 很 难 确定 。 还 有 ， 为 了 防止 缓冲 区 溢出 带 来 的 注入 
问题 ， 现 在 的 操作 系统 采取 了 一 些 办 法 ， 比 如 让 esp 随机 变化 (比如 和 系统 时 钟 
关联 起 来 ) ， 所 以 这 些 措施 将 导致 注入 更 加 困难 。 如 果 有 兴趣 ， 你 可 以 接着 看 看 最 
后 的 几 篇 参考 资料 并 进行 更 深入 的 研究 。 


需要 提 到 的 是 ， 因 为 很 多 程序 可 能 使 用 stropy 来 进行 字符 串 的 复制 ， 在 实际 编 
写 缓冲 区 注入 代码 时 ， 会 采取 一 定 的 办 法 GSR) ， 把 代码 中 可 能 包含 的 

\o 字 节 去 掉 ， 从 而 防止 stropy 中 断 对 注入 代码 的 复制 ， 进 而 可 以 复制 完整 的 
注入 代码 。 具 体 的 技巧 可 以 参考 Linux 下 缓冲 区 溢出 攻击 的 原理 及 对 策 ，Shellcode 
42 AK AR TK » virus-writing-HOWTO 。 


后 记 


实际 上 缓冲 区 溢出 应 该 是 语法 和 逻辑 方面 的 双重 问题 ， 由 于 语法 上 的 不 严格 (对 数 
组 边界 没有 检查 ) 导 臻 逻辑 上 可 能 出 现 严重 缺陷 (程序 执行 行为 被 改变 ) 。 另 外 ， 
这 类 问题 是 对 程序 运行 过 程 中 的 程序 映像 的 栈 区 进行 注入 。 实 际 上 除 此 之 外 ， 程 序 
在 安全 方面 还 有 很 多 类 似 的 问题 。 比 如 ， 虽 然 程序 映像 的 正文 区 受到 系统 保护 (只 
读 ) ， 但 是 如 果 内 存 〈 硬 件 本 身 ， 内 存 条 ) 出 现 故 障 ， 在 程序 运行 的 过 程 中 ， 程 序 
映像 的 正文 区 的 某 些 字 节 就 可 能 被 修改 了 ， 也 可 能 发 生 非 常 严重 的 后 果 ， 因 此 程序 
运行 过 程 的 正文 区 检查 等 可 能 的 手段 需要 被 引入 。 


J oF 


e Playing with ptrace 
o how ptrace can be used to trace system calls and change system call 
arguments 
o setting breakpoints and injecting code into running programs 
o fix the problem of ORIG_EAX not defined 
o 《缓冲 区 溢出 攻击 SN. aw SRG) PRE 
e Linux 下 缓冲 区 溢出 攻击 的 原理 及 对 策 
e Linux 汇编 语言 开发 指南 





缓冲 区 溢出 与 注入 分 析 


e Shellcode 技术 杂谈 


148 


进程 的 内 存 映像 


e 用 号 

o 进程 内 存 映像 表 

o 在 程序 内 部 打印 内 存 分 布 信息 

o 在 程序 内 部 获取 完整 内 存 分 布 信息 
e 后 记 

© 参考 资料 


wh 


在 阅读 《UNIX 环境 高 级 编程 》 的 第 14 章 时 ， 看 到 一 个 “打印 不 同类 型 的 数据 所 存 
放 的 位 置 ”的 例子 ， 它 非常 清晰 地 从 程序 内 部 反应 了 “进程 的 内 存 映 像 *， 通 过 结合 它 
与 《Gcc 编译 的 背后 》 和 《缓冲 区 溢出 与 注入 分 析 》 的 相关 内 容 ， 可 以 更 好 地 辅助 
理解 相关 的 内 容 。 


进程 内 存 映像 表 


首先 回顾 一 下 《缓冲 区 溢出 与 注入 》 中 提 到 的 "进程 内 存 映像 表 "， 并 把 共享 内 存 的 
大 概 位 置 加 入 该 表 : 


地 址 内 核 空间 
0xC0000000 
(program flie) 程序 
名 
(environment) 环境 
变量 


(arguments) 参数 


(stack) 栈 


(shared memory) 共 
SAG 


(heap) 堆 


.bss (uninitilized 


data) 
.data (initilized 
global data) 
.text (Executable 
Instructions) 
0x08048000 
0x00000000 


描述 


execve 的 第 一 个 参数 
execve 的 第 三 个 参数 ，main 的 第 三 个 
execve 的 第 二 个 参数 ，main 的 形 参 


自动 变量 以 及 每 次 函数 调用 时 所 需 保存 
的 信息 都 


存放 在 此 ， 包 括 函 数 返 回 地 址 、 调 用 者 
的 


环境 信息 等 ， 函 数 的 参数 ， 局 部 变量 都 
存放 在 此 


共享 内 存 的 大 概 位 置 


主要 在 这 里 进行 动态 存储 分 配 ， 比 如 
malloc，new 等 。 


没有 初始 化 的 数据 (全 局 变量 哦 ) 


已 经 初始 化 的 全 局 数据 (全 局 变量 ) 


通常 是 可 执行 指令 


在 程序 内 部 打印 内 存 分 布 信息 


为 了 能 够 反应 上 述 内 存 分 布 情况 ， 这 里 在 


《UNIX 环境 高 级 编程 》 的 程序 14-11 的 


基础 上 ， 添 加 了 一 个 已 经 初始 化 的 全 局 变量 (存放 在 已 经 初始 化 的 数据 段 内 ) ， 并 
打印 了 它 以 及 main 函数 (处 在 代码 正文 部 分 ) 的 位 置 。 


TERR 

* showmemory.c -- print the position of different types of data 
in a program in the memory 

EY 


#include <sys/types.h> 
#include <sys/ipc.h> 
#include <sys/shm.h> 
#include <stdio.h> 
#include <stdlib.h> 


#define ARRAY_SIZE 4000 

#define MALLOC_SIZE 100000 

#define SHM_SIZE 100000 

#define SHM_MODE (SHM_R | SHM_W) /* user read/write */ 


int init_global_variable = 5; /* initialized global variable 
e 
char array[ARRAY_SIZE]; /* uninitialized data = bss */ 


int main(void) 


{ 

int shmid; 

char *ptr, *shmptr; 

printf("main: the address of the main function is %x\n", mai 
n); 


printf("data: data segment is from %x\n", &init_global_varia 
ble); 

printf("bss: array[] from %x to %x\n", &array[0], &array[ARR 
AY_SIZE]); 

printf("stack: around %x\n", &shmid); 


/* shmid is a local variable, which is stored in the stack, 
hence, you 
* can get the address of the stack via it*/ 


if ( (ptr = malloc(MALLOC_SIZE)) == NULL) { 
printf("malloc error!\n"); 
exit(-1); 


} 
printf("heap: malloced from %x to %x\n", ptr, ptr+MALLOC_SIZ 


ED» 
if ( (shmid = shmget(IPC_PRIVATE, SHM_SIZE, SHM MODE)) < 0) 


printf("shmget error!\n"); 
exit(-1); 


if ( (shmptr = shmat(shmid, ©, 0)) == (void *) -1) { 
printf("shmat error!\n"); 
exit(-1); 
} 
printf("shared memory: attached from %x to %x\n", shmptr, sh 
mptr+SHM_SIZE); 


if (shmctl(shmid, IPC_RMID, ©) < 0) { 
printf("shmctl error!\n"); 
exit(-1); 


exit(0); 


该 程序 的 运行 结果 如 下 : 


$ make showmemory 

CC showmemory.c -0 showmemory 

$ ./showmemory 

main: the address of the main function is 804846c 
data: data segment is from 80498e8 

bss: array[] from 8049920 to 804a8c0 

stack: around bfe3e224 

heap: malloced from 804b008 to 80636a8 

shared memory: attached from b7da7000 to b7dbf6a0 


上 etl 吉 果 反应 了 几 个 重要 部 分 数据 的 大 概 分 布 情况 ， 比 如 data K (那个 初 
始 化 过 的 全 局 变量 就 位 于 这 里 ) 、bss 段 、stack、heap， 以 及 shared memory 和 
main (代码 段 ) 的 内 存 分 布 情 况 。 


` 


在 程序 内 部 获取 完整 内 存 分 布 信 息 


不 过 ， 这 些 结果 还 是 没有 精确 和 完 eae Bela 
反应 这 些 信 息 ， 结 合 《Gcc 编 译 的 背后 》， 就 不 难 想 到 ， 我 们 还 可 以 通过 扩展 一 些 
已 经 链接 到 可 i 外 部 符号 来 获取 它们 。 这 些 外 部 符号 全 部 ov 可 执行 


文件 的 符号 表 中 ， 可 以 通过 nm/readelf -s/objdump -t 等 查看 到 ， 例 如 : 


$ nm showmemory 

080497e4 d _DYNAMIC 

080498b0 _GLOBAL_OFFSET_TABLE_ 

080486c8 R _IO0_stdin_used 

_Jv_RegisterClasses 
CTOR_END 
CTOR_LIST 
DTOR_END 
DTOR_LIST 

__FRAME_END__ 
JCR_END 
JCR_LIST 


d 
R 
w 
080497d4 d 
080497d0 d 
080497dc d 
080497d8 d 
080487cc r 
080497e0 d 
080497e0 d 
080498ec A 
080498dc D _ data start 
08048680 t _ do global ctors aux 
t 
D 
w 
T 
d 
d 
T 
F 
U 
A 
A 
T 




















__bss_start 


08048414 
080498e0 


__do_global_dtors_aux 
__dso_handle 
__gmon_start__ 
__1686.get_pc_thunk.bx 
__init_array_end 


0804867a 
080497d0 
080497d0 
08048610 
08048620 


__init_array_start 
libc_csu_fini 





libc_csu_init 
__libc_start_main@@GLIBC_2.0 
_edata 





080498ec 
0804a8c0 
080486a8 


_end 
_ fini 


080486c4 
08048328 
080483f0 
08049920 
08049900 
080498dc 


R _fp_hw 
T _init 
T _start 
B array 
b completed. 1 
w data_start 
U exit@@GLIBC_2.0 
08048444 t frame_dummy 
080498e8 D 
0804846c T 
U 
d 
U 
U 
U 
U 


init_global_variable 
main 
malloc@@GLIBC_2.0 
p.0 
printf@@GLIBC_2.0 
shmat@@GLIBC_2.0 
shmct L@@GLIBC_2.2 
shmget@@GLIBC_2.0 


080498e4 


第 三 列 的 符号 在 我 们 的 程序 中 被 扩展 以 后 就 可 以 直接 引用 ， 这 些 符号 基本 上 就 已 经 
完整 地 替 盖 了 相关 的 信息 了 ， 这 样 就 可 以 得 到 一 个 更 完整 的 程序 ， 从 而 完全 反应 上 
面 提 到 的 内 存 分 布 表 的 信息 。 


Ce 

* showmemory.c -- print the position of different types of data 
in a program in the memory 

of 


#include <sys/types.h> 
#include <sys/ipc.h> 
#include <sys/shm.h> 
#include <stdio.h> 
#include <stdlib.h> 


#define ARRAY_SIZE 4000 

#define MALLOC_SIZE 100000 

#define SHM_SIZE 100000 

#define SHM_MODE (SHM_R | SHM_W) /* user read/write */ 


/* declare the address r 
elative variables */ 


extern char _start, _ data start, _ bss start, etext, edata, end 
/ 
extern char **environ; 


char array[ARRAY_SIZE]; /* uninitialized data = bss */ 


int main(int argc, char *argv[]) 


{ 
int shmid; 
char *ptr, *shmptr; 
printf("===== memory map =====\n"); 
printf(".text:\tOx%x->0x%x (_start, code text)\n", & start, 
&etext); 


printf(".data:\t0x%x->0x%x (__data_start, initilized data)\n 
", & data start, &edata); 

printf(".bss: \tOx%x->0x%x (__bss_ start, uninitilized data)\ 
n", & bss start, &end); 


/* shmid is a local variable, which is stored in the stack, 
hence, you 
* can get the address of the stack via it*/ 


if ( (ptr = malloc(MALLOC_SIZE)) == NULL) { 
printf("malloc error!\n"); 
exit(-1); 

} 


printf ("heap: \tOx%x->0x%x (address of the malloc space)\n", 
ptr, ptr+MALLOC_SIZE); 


if ( (shmid = shmget(IPC_PRIVATE, SHM_SIZE, SHM MODE)) < 0) 
printf("shmget error!\n"); 


exit(-1); 


if ( (shmptr = shmat(shmid, ©, 0)) == (void *) -1) { 
printf("shmat error!\n"); 
exit(-1); 


} 


printf("shm :\t0x%x->0x%x (address of shared memory)\n", sh 
mptr, shmptr+SHM_SIZE); 


if (shmctl(shmid, IPC_RMID, ©) < 0) { 
printf("shmctl error!\n"); 
exit(-1); 


printf("stack:\t <--0x%x--> (address of local variables)\n", 
&shmid) ; 

printf("arg: \tOx%x (address of arguments)\n", argv); 

printf("env: \tOx%x (address of environment variables)\n", 


environ); 
exit(0); 
} 
运行 结果 


$ make showmemory 
$ ./showmemory 


.text: 0x8048440->0x8048754 (_start, code text) 

.data: 0x8049a3c->0x8049a48 (__data_start, initilized data) 
.bss: 0x8049a48->0x804aa20 (__bss_start, uninitilized data) 
heap: 0x804b008->0x80636a8 (address of the malloc space) 
shm : Oxb7db6000->0xb7dce6a0 (address of shared memory) 
stack: <--Oxbff85b64--> (address of local variables) 

arg: Oxbff85bf4 (address of arguments) 

env: Oxbff85bfc (address of environment variables) 


上 述 程序 完整 地 勾勒 出 了 进程 的 内 存 分 布 的 各 个 重要 部 分 ， 这 样 就 可 以 从 程序 内 部 
获取 跟 程 序 相 关 的 所 有 数据 了 ， 一 个 非常 典型 的 例子 是 ， 在 程序 运行 的 过 程 中 检查 
RIG ELRPRERKESER © 


如 果 想 更 深 地 理解 相关 内 容 ， 那 么 可 以 试 着 利用 readelf ， objdump 等 来 分 析 
ELF 可 执行 文件 格式 的 结构 ， 并 利用 gdb 来 了 解 程序 运行 过 程 中 的 内 存 变 化 情 
dL ° 


参考 资料 


o Gcoc 编译 的 背后 (第 二 部 分 : 汇编 和 链接 ) 
o 缓冲 区 溢出 与 注入 分 析 
e (Unix 环境 高 级 编程 》 第 14 章 ， 程 序 14-11 


进程 和 进程 的 基本 操作 


o 查看 进程 ID 

o 查看 进程 的 内 存 映像 
o 查看 进程 的 属性 和 状态 

通过 ps 命令 查看 进程 属性 

o 通过 pstree 查看 进程 亲缘 关系 

o 用 top 动态 查看 进程 信息 

o 确保 特定 程序 只 有 一 个 副本 在 运行 
o 调整 进程 的 优先 级 

o 获取 进程 优先 级 

o 调整 进程 的 优先 级 


@ 结束 进程 
o 结束 进程 
o 暂停 某 个 进程 
o 查看 进程 退出 状态 


e 进程 通信 
o 无 名 管道 (pipe) 
o 有 名 管道 (named pipe) 
o 信号 (Signal) 

o 作业 和 作业 控制 


o 创建 后 全 进程， 获取 进程 的 作业 号 和 进程 号 
停 


o 把 作业 调 到 前 台 并 暂 
o 查看 当 前 作业 情况 
启动 停止 的 进程 并 运行 在 后 台 
° SATH 
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ANE A ABP LE RAR VE A BT AG A” > RA SE TE HY — HEH RARE E BA 


A ee ee Hn ， 将 介绍 包括 程序 、 进 程 、 作 业 等 基本 
概念 以 及 进程 状态 查询 、 进 程 通信 等 相关 的 操作 。 


什么 是 程序 ， 什 么 又 是 进程 


程序 是 指令 的 集合 ， 而 进程 则 是 程序 执行 的 基本 单元 。 为 了 让 程序 完成 它 的 工作 ， 
必须 让 程序 运行 起 来 成 为 进程 ， 进 而 利用 处 理 器 资源 、 内 存 资源 ， 进 行 各 种 I/0 
操作 ， 从 而 完成 某 项 特定 工作 。 


从 这 个 意思 上 说 ， 程 序 是 静态 的 ， 而 进程 则 是 动态 的 。 


进程 有 区 别 于 程序 的 地 方 还 有 : 进程 除了 包含 程序 文件 中 的 指令 数据 以 外 ， 还 需要 
在 内 核 中 有 一 个 数据 结构 用 以 存放 特定 进程 的 相关 属性 ， 以 便 内 核 更 好 地 管理 和 调 
度 进程 ， 从 而 完成 多 进程 协作 的 任务 。 因 此 ， 从 这 个 意义 上 可 以 说 “高 于 ”程序 ， 起 


出 了 程序 HSA 8 

如 果 进 行 过 多 进程 程序 的 开发 ， 又 会 发 现 ， 一 个 程序 可 
进程 的 交互 完成 任务 。 在 Linux 下 ， 多 进程 的 创建 通常 
实现 。 从 这 个 意义 上 来 说 程序 则 "包含 "了 进程 。 


人 个 进程 ， 通 过 多 个 
过 fork 系统 调用 来 


ome 需要 明确 的 是 ， 程 序 可 以 由 多 种 不 同 程序 语言 描述 ， 和 包括 C 语言 程序 、 汇 


编 语 言 程 序 和 最 后 编译 产生 的 机 器 AF o 


下 面 简单 讨论 Linux 下 面 如 何 通过 Shell 进行 进程 的 相关 操作 。 


通常 在 命令 行 键 入 某 个 程序 文件 名 以 后 ， 一 个 进程 就 被 创建 了 。 例 如 ， 


$ sleep 100 & 
[1] 9298 


查看 进程 ID 


用 pidof 可 以 查看 指定 程序 名 的 进程 ID : 


$ pidof sleep 
9298 


查看 进程 的 内 存 映 像 


$ cat /proc/9298/maps 


08048000-0804b000 r-xp 00000000 08:01 977399 /bin/sleep 
0804b000-0804c000 rw-p 00003000 08:01 977399 /bin/sleep 
0804c000-0806d000 rw-p 0804c000 00:00 0 [heap ] 


b7c8b000-b7cca000 r--p 00000000 08:01 443354 


bfbd8000-bfbed000 rw-p bfbd8000 00:00 0 [stack] 
ffffe900-fffff609 r-xp 00000000 00:00 0 [vdso] 


的 内 存 映 


程序 被 执行 后 ， 就 被 加 载 到 内 存 中 ， 成 为 了 一 个 进程 。 上 面 显 示 了 该 进程 
命令 行 参数 、 环 境 


示 
ee hn 令 、 数 据 ， 以 及 一 些 用 于 存放 程序 命令 
变量 的 栈 空 间 ， 用 于 动态 内 存 申 请 的 堆 空 间 都 被 分 配 好 。 


关于 程序 在 命令 行 执行 过 程 的 细节 ， 请 参考 《Linux 命令 行 下 程序 执行 的 一 章 
那 》 


实际 上 ， 创 建 一 个 进程 ， 也 就 是 说 让 程序 运行 ， 还 有 其 他 的 办 法 ， 比 如 ， 通 过 一 些 
配置 让 系统 启动 时 自动 启动 程序 (具体 参考 man init ) ， 或 者 是 通过 配置 
crond (或 者 at ) 让 它 定 时 启动 程序 。 除 此 之 外 ， 还 有 一 个 方式 ， 那 就 是 编 
写 Shell 脚本 ， 把 程序 写 We 当 执 行 脚 本 文件 时 ， 文 件 中 的 程序 将 被 
执行 而 成 为 进程 。 这 些 方式 的 细节 就 不 介绍 ， 下 面 了 解 如 何 查看 进程 的 属性 。 


需要 补充 一 点 的 是 : 在 命令 行 下 执行 程序 ， 可 以 通过 ulimit 内 置 命令 来 设置 进 
程 可 以 利用 的 资源 ， 比 如 进程 可 以 打开 的 最 大 文件 描述 符 个 数 ， 最 大 的 栈 空间 ， 虚 
拟 内 存 空间 等 。 具 体 用 法 见 help ulimit ° 


查看 进程 的 属性 和 状态 


可 以 通过 ps 命令 查看 进程 相关 属性 和 状态 ， 这 些 信息 包括 进程 所 属 用 户 ， 进 程 
对 应 的 程序 ， 进 程 对 cpu 和 内 存 的 使 用 情况 等 信息 。 熟 悉 如 何 查看 它们 有 助 于 进 
行 相关 的 统计 分 析 等 操作 。 


通过 ps 命令 查看 进程 属性 


查看 系统 当前 所 有 进程 的 属性 : 


(si 


$ ps -ef 


查看 命令 中 包含 某 字符 的 程序 对 应 的 进程 ， 进 程 ID 是 1。 TTY 为 ?表示 和 终 


$ ps -C init 
PID TTY TIME CMD 
1? 00:00:01 init 


$ ps -U falcon 


按照 指定 格式 输出 指定 内 容 ， 下 面 输出 命令 名 和 cpu 使 用 率 : 


$ ps -e -0 "%C %c" 


打印 cpu 使 用 率 最 高 的 前 4 个 程序 : 


$ ps -e -o "%C %c" | sort -u -k1 -r | head -5 
7.5 firefox-bin 
1.1 Xorg 
0.8 scim-panel-gtk 
0.2 scim-bridge 


获取 使 用 虚拟 内 存 最 大 的 5 个 进程 


$ ps -e -o "%z %c" | sort -n -k1 -r | head -5 
349588 firefox-bin 

96612 xfce4-terminal 

88840 xfdesktop 

76332 gedit 

58920 scim-panel-gtk 


通过 pstree 查看 进程 亲缘 关系 


系统 所 有 进程 之 间 都 有 "亲缘" 关系， 可 以 通过 pstree 查看 这 种 关系 : 


$ pstree 


上 面 会 打印 系统 进程 调用 树 ， 可 以 非常 清楚 地 看 到 当前 系统 中 所 有 活动 进程 之 间 的 
调用 关系 。 


用 top 动 态 查看 进程 信息 


$ top 
该 命令 最 大 特点 是 可 以 动态 地 查看 进程 信息 ， 当 然 ， 它 还 提供 oO 
比如 -S 可 以 按照 累计 执行 时 间 的 大 小 排序 查看 ， 也 可 以 通过 -u 查看 指定 用 户 


启动 的 进程 等 。 


补充 : top nd 比如 它 支持 u 命令 显示 用 户 的 所 有 进程 ， 支 持 通 
过 k 命令 杀 掉 某 个 进程 ; 如 果 使 用 -n 1 选项 可 以 启用 批 处 理 模式 ， 具 体 用 法 
为 于 


$ top -n 1 -b 
确保 特定 程序 只 有 一 个 副本 在 运 


下 面 来 讨论 一 个 有 趣 的 问题 : 如 何 让 一 个 程序 在 同一 时 间 只 有 一 个 在 运行 。 


这 意味 着 当 一 个 程序 正在 被 执行 时 ， 它 将 不 能 再 被 启动 。 那 该 怎么 做 呢 ? 


假如 一 份 相同 的 程序 被 复制 成 了 很 多 份 ， 并 且 有 具 0 
置 ， 这 个 将 比较 糟糕 ， 所 以 考虑 最 简单 的 情况 ， 那 就 是 这 份 程序 在 整个 系统 上 是 唯 
一 的 ， 而 且 名 字 也 是 唯一 的 。 这 样 的 话 ， rn cies 


总 的 机 理 是 : 在 程序 开头 检查 自己 有 没有 执行 ， 如 果 执 行 了 则 停止 否则 继续 执 和 
续 代码 。 


策略 则 是 多 样 的 ， 由 于 前 面 的 假设 已 经 保证 程序 文件 名 和 代码 的 唯一 性 ， 所 以 通过 
ps 命令 找 出 当前 所 有 进程 对 应 的 程序 名 ， 逐 个 与 自己 的 程序 名 比较 ， 如 果 已 经 
有 ， 那 么 说 明 自 己 已 经 运行 了 。 


ps -e -o "%c" | tr -d " " | grep -q Ainit$  # 查 看 当前 程序 是 否 执行 
[ $? -eq O ] && exit  # 如 果 在 ， 那 么 退出 ，$? 表 示 上 一 条 指令 是 否 执行 成 功 


-o 虽 定 位 置 检查 是 否 存在 一 个 保存 自己 进程 ID 的 文件 ， 如 果 不 存 
那么 执行 ， 如 果 存 在 ， 那 么 查看 该 进程 ID 是 否 正 在 运行 ， 如 果 在 ， 那 
退出 ， 0 +42 ID ， 并 继续 。 


pidfile=/tmp/$0".pid" 
if [ -f $pidfile ]; then 
OLDPID=$(cat $pidfile) 
ps -e -o "%p" | tr -d " " | grep -q "A$OLDPID$" 
[ $? -eq 0 ] && exit 
fea 


echo $$ > $pidfile 
#... 代码 主体 


# 设 置信 号 0 的 动作 ， 当 程序 退出 时 触发 该 信号 从 而 删除 掉 临 时 文件 
trap "rm $pidfile" 0 


更 多 实现 策略 自己 尽情 发 挥 吧 | 


调整 进程 的 优先 级 


在 保证 每 个 进程 都 能 够 顺利 执行 外 ， 为 了 让 某 些 任务 优先 完成 ， 那 么 系统 在 进行 进 
程 调 度 时 就 会 采用 一 定 的 调度 办 法 ， 比 如 常见 的 有 按照 优先 级 的 时 间 片 轮转 的 调度 
算法 。 这 种 情况 下 ， 可 以 通过 renice 调整 正在 运行 的 程序 的 优先 级 ， 例 如 :， 


获取 进程 优先 级 


$ ps -e -0 "%p %c %n" | grep xfs 
5089 xfs 0 


调整 进程 的 优先 级 


$ renice 1 -p 5089 

renice: 5089: setpriority: Operation not permitted 

$ sudo renice 1 -p 5089  # 需 要 权限 才 行 

[sudo] password for falcon: 

5089: old priority ©, new priority 1 

$ ps -e -o "%p %c %n" | grep xfs  # 再 看 看 ， 优 先 级 已 经 被 调整 过 来 了 
5089 xfs 1 


既然 可 以 通过 命令 行 执 行程 序 ， 创 建 进 程 ， 那 么 也有 办 法 结束 它 。 可 以 通过 
kill 命令 给 用 户 自己 启动 的 进程 发 送 某 个 信号 让 进程 终止 ， 当 然 “ 万 能 ”的 
root 几乎 可 以 kill 所 有 进程 (除了 init 之 外 ) 。 例 如 ， 


结束 进程 


$ sleep 50 &  # 启 动 一 个 进程 
[1] 11347 
$ kill 11347 


kill 命令 默认 会 发 送 终止 信号 ( SIGTERM ) 给 程序 ， 让 程序 退出 ， 但 是 
kill 还 可 以 发 送 其 他 信号 ， 这 些 信号 的 定义 可 以 通过 man 7 signal 查看 
到 ， 也 可 以 通过 kill -1 列 出 来 。 


$ man 7 Signal 


$ kill -1 

1) SIGHUP 2) SIGINT 3) SIGQUIT 4) SIGILL 

5) SIGTRAP 6) SIGABRT 7) SIGBUS 8) SIGFPE 

9) SIGKILL 10) SIGUSR1 11) SIGSEGV 12) SIGUSR2 
13) SIGPIPE 14) SIGALRM 15) SIGTERM 16) SIGSTKFLT 
17) SIGCHLD 18) SIGCONT 19) SIGSTOP 20) SIGTSTP 
21) SIGTTIN 22) SIGTTOU 23) SIGURG 24) SIGXCPU 
25) SIGXFSZ 26) SIGVTALRM 27) SIGPROF 28) SIGWINCH 
29) SIGIO 30) SIGPWR 31) SIGSYS 34) SIGRTMIN 


35) SIGRTMIN+1 36) SIGRTMIN+2 37) SIGRTMIN+3 38) SIGRTMIN+4 

39) SIGRTMIN+5 40) SIGRTMIN+6 41) SIGRTMIN+7 42) SIGRTMIN+8 

43) SIGRTMIN+9 44) SIGRTMIN+10 45) SIGRTMIN+11 46) SIGRTMIN+12 
47) SIGRTMIN+13 48) SIGRTMIN+14 49) SIGRTMIN+15 50) SIGRTMAX-14 
51) SIGRTMAX-13 52) SIGRTMAX-12 53) SIGRTMAX-11 54) SIGRTMAX-10 
55) SIGRTMAX-9 56) SIGRTMAX-8 57) SIGRTMAX-7 58) SIGRTMAX-6 

59) SIGRTMAX-5 60) SIGRTMAX-4 61) SIGRTMAX-3 62) SIGRTMAX-2 

63) SIGRTMAX-1 64) SIGRTMAX 


is 


例如 ， 用 kill 命令 发 送 SIGSTOP 信号 给 某 个 程序 ， 让 它 暂停 ， 然 后 发 站 
SIGCONT 信号 让 它 继 


$ sleep 50 & 

[1] 11441 

$ jobs 

[1]+ Running Sleep 50 & 

$ kill -s SIGSTOP 11441  ”# 这 个 等 同 于 我 们 对 一 个 前 人 台 进 程 执行 CTRL+Z 操 作 
$ jobs 

[1]+ Stopped sleep 50 

$ kill -s SIGCONT 11441  ”# 这 个 等 同 于 之 前 我 们 使 用 bg %1 操 作 让 一 个 后 台 进 
程 运行 起 来 


$ jobs 

[1]+ Running Sleep 50 & 

$ kill %1 # 在 当前 会 话 ( session) 下 ， 也 可 以 通过 作业 号 控 
制 进程 

$ jobs 

[1]+ Terminated sleep 50 


可 见 kill 命令 提供 了 非常 好 的 功能 ， 不 过 它 只 能 根据 进程 的 ID A a 
控制 进程 ， 而 pkill 和 killall 提供 了 更 多 选择 ， 它 们 扩展 了 通过 程序 名 其 
进程 的 用 户 名 来 控制 进程 的 方法 。 更 多 用 法 请 参考 它们 的 手册 。 


查看 进程 退出 状态 


当 程 序 退 出 后 ， 如 何 判断 这 个 程序 是 正常 退出 还 是 异常 退出 呢 ? 还 记得 Linux 下 ， 
那个 经 典 hello world 程序 吗 ? 在 代码 的 最 后 总 是 有 条 returno 语句 。 这 个 
return 0 实际 上 是 让 程序 员 e ees 退出 的 。 如 果 进 程 返回 了 一 个 

其 他 的 数值 ， 那 么 可 以 肯定 地 说 这 个 进程 异常 退出 了 ， 因 为 它 都 没有 执行 到 
return 0 这 条 语句 就 退出 了 。 


那 怎 么 检查 进程 退出 的 状态 ， 即 那个 返回 的 数值 呢 ? 


在 Shell 中 ， 可 以 检查 这 个 特殊 的 变量 $? ， 它 存放 了 上 一 条 命令 执行 后 的 退 
出 状态 。 


$ testi 

bash: testi: command not found 

$ echo $? 

127 

$ cat ./test.c | grep hello 

$ echo $? 

1 

$ cat ./test.c | grep hi 
printf("hi, myself!\n"); 

$ echo $? 

0 


貌似 返回 0 成 为 了 一 个 潜 规 则 ， 虽 然 没 有 标准 明确 规定 ， 不 过 当 程 序 正 常 返回 时 ， 
总 是 可 以 从 $? 中 检测 到 0， 但 是 异常 时 ， 总 是 检测 到 一 个 非 0 值 。 这 就 告诉 我 
们 在 程序 的 最 后 最 好 是 跟 上 一 个 exit 0 以 便 任 何人 都 可 以 通过 检测 $? 确定 
序 是 否 正常 结束 。 如 果 有 一 天 ， 有 人 偶尔 用 到 你 的 程序 ， 试 图 检查 它 的 退出 状 

而 你 却 在 程序 的 末尾 英名 地 返回 了 一 个 -1 或 者 1， 那 么 他 将 会 很 苦恼 ， 会 
ee 己 编写 的 程序 到 底 哪个 地 方 出 了 问题 ， 检 查 半 天 却 不 知 所 措 ， 因 为 他 太 信 
任 你 了 ， 竞 然 从 头 至 尾 都 没有 怀疑 你 的 编程 习惯 可 能 会 与 众 不 同 ! 


进程 通信 


为 便于 设计 和 实现 ， 通 常 一 个 大 型 的 任务 都 被 划分 成 较 小 的 模块 。 不 
动 后 成 为 进程 ， 它 们 之 间 如 何 通信 以 便 交 互 数据 ， 协 同 工 作 呢 ? 在 《UNIX 环境 
级 编程 》 一 书 中 提 到 很 多 方法 ， 诸 如 管道 (无 名 管道 和 有 名 管道 ) 、 信 号 

( signal ) 、 报 文 ( Message ) 队列 (消息 队列 ) 、 共 享 内 存 

( mmap/munmap ) 、 信 号 量 ( semaphore ， 主 要 是 同步 用 ， 进 程 之 间 ， 进 程 的 
不 同 线程 之 间 ) 、 套 接口 ( Socket ， 支 持 不 同 机 器 之 间 的 进程 通信 ) 等 ， 而 在 
Shell 中 ， 通 常 直接 用 到 的 就 有 管道 和 信号 等 。 下 面 主 要 介绍 管道 和 信号 机 制 在 
Shell 编程 时 的 一 些 用 法 。 


无 名 管道 (pipe) 


在 Linux 下 ， 可 以 通过 | 连接 两 个 程序 ， 这 样 就 可 以 用 它 来 连接 后 一 个 程序 的 输 
入 和 前 一 个 程序 的 输出 ， 因 此 被 形象 地 叫做 个 管道 。 在 C 语言 中 ， 创 建 无 名 管道 非 
常 简单 方便 ， 用 pipe 函数 ， 传 入 一 个 具有 两 个 元 素 的 int 型 的 数组 就 可 以 。 


这 个 数组 实际 上 保存 的 是 两 个 文件 描述 符 ， 父 进程 往 第 一 个 文件 描述 符 里 头 写 入 东 
西 后 ， 子 进程 可 以 从 第 一 个 文件 描述 符 中 读 出 来 。 


如 果 用 多 了 命令 行 ， 这 个 管子 | 应 该 会 经 常用 。 比 如 上 面 有 个 演示 把 ps 命令 
的 输出 作为 grep 命令 的 输入 : 


$ ps -ef | grep init 


也 许 会 觉得 这 个 “管子 "好 有 魔法 ， 竟 然 趴 地 能 够 链接 两 个 程序 的 输入 和 输出 ， 它 们 

是 怎么 实现 的 呢 ? 实际 上 当 输 入 这 样 一 组 命令 时 ， 当 前 Shell 会 进行 适当 的 解 
析 ， 把 前 面 一 个 进程 的 输出 关联 到 管道 a 述 符 ， 把 后 面 一 个 进程 的 输入 
关联 到 管道 的 输入 文件 描述 符 ， 这 个 关联 过 过 输入 输出 重 定向 函数 dup (或 
者 fentl ) 来 实现 。 


有 名 管道 (named pipe) 


有 名 管道 实际 上 是 一 个 文件 (无 名 管道 也 像 一 个 文件 ， 虽 然 关 系 到 两 个 文件 描述 
符 ， 不 过 只 能 一 边 读 另 外 一 边 写 ) ， 不 过 这 个 文件 比较 特别 ， 操 作 时 要 满足 先进 先 


出 ， 而 有 全 ， 如 果 试 图 读 一 个 没有 内 容 的 有 名 管道 ， 那 么 wees ， 同 样 地 ， 如 果 
试图 往 一 个 有 名 管道 里 写 东 西 ， 而 当前 没有 程序 试图 读 它 ， 也 会 被 阻塞 。 下 面 看 看 
效果 。 


$ mkfifo fifo_test # 通 过 mkfifo 命 令 创建 一 个 有 名 管道 

$ echo "fewfefe" > fifo test 

# 试 图 往 fifo_test 文 件 中 写 入 内 容 ， 但 是 被 阻塞 ， 要 另 开 一 个 终端 继续 下 面 的 操作 

$ cat fifo_test # 另 开 一 个 终端 ， 记 得 ， 另 开 一 个 。 试 图 读 出 fifo_tes 
t 的 内 容 

fewfefe 


这 里 的 echo 和 cat 是 两 个 不 同 的 程序 ， 在 这 种 情况 下 ， 通 过 echo es 
cat 启动 的 两 个 进程 之 间 并 没有 父子 关系 。 不 过 它们 依然 可 以 通过 有 名 管 


信 
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这 样 一 种 通信 方式 非常 适合 某 些 特定 情况 : 例如 有 这 样 一 个 架构 ， 这 个 架构 由 两 个 
应 用 程序 构成 ， 其 中 一 个 通过 循环 不 断 读 取 fifo test 中 的 内 容 ， 以 便 判 断 ， 
它 下 一 步 要 做 什么 。 如果 这 个 管道 没有 内 容 ， 那 么 它 就 会 被 阻塞 在 那里 ， 而 不 会 因 
死 循 环 而 耗费 资源 ， 另 外 一 个 则 作为 一 个 控制 程序 不 断 地 往 fifo_test PRA 


一 些 控 制 信息 ， 以 便 告 诉 之 前 的 那个 程序 该 做 什么 。 下 面 写 一 个 非常 简单 的 例子 。 
可 以 设计 一 些 控制 码 ， 然 后 控制 程序 不 断 地 往 fifo test 里 头 写 入 ， 然 后 应 用 
程序 根据 这 些 控制 码 完 成 不 同 的 动作 。 当 然 ， 也 可 以 往 fifo test 传 入 除 控制 


码 外 的 其 他 数据 。 


。 应 用 程序 的 代码 


$ cat app.sh 
#!/bin/bash 


FIFO=fifo_test 
while :; 
do 
CI= cat $FIFO #CI --> Control 
case $CI in 
©) echo "The CONTROL number 


vr 


1) echo "The CONTROL number 


rr 
*) echo "The CONTROL number 
ething else..." 
rr 
esac 
done 


o 控制 程序 的 代码 


Info 


is ZERO, do something 


is ONE, do something 


not recognized, do som 


$ cat control.sh 
#!/bin/bash 


FIFO=fifo_test 
CI=$1 


[ -z "$CI" ] && echo "the control info should not be empty 
" && exit 


echo $CI > $FIFO 


o 一 个 程序 通过 管道 控制 另外 一 个 程序 的 工作 


$ chmod +x app.sh control.sh # 修 改 这 两 个 程序 的 可 执行 权限 ， 以 


便 用 户 可 以 执行 它们 

$ ./app.sh # 在 一 个 终端 启动 这 个 应 用 程序 ， 在 通过 ./control. sh 发 送 控 
制 码 以 后 查看 输出 

The CONTROL number is ONE, do something ... # 发 送 1 以 后 

The CONTROL number is ZERO, do something ... # 发 送 9 以 后 

The CONTROL number not recognized, do something else... # 
发 送 一 个 未 知 的 控制 码 以 后 

$ ./control.sh 1 # 在 另外 一 个 终端 ， 发 送 控制 信息 ， 控 制 
应 用 程序 的 工作 


$ ./control.sh 0 
$ ./control.sh 4343 


这 样 一 种 应 用 架构 非常 适合 本 地 的 多 程序 任务 设计 ， 如 果 结 合 web cgi ， 那 么 也 
将 适合 远程 控制 的 要 求 。 引 入 web cgi 的 唯一 改变 是 ， 要 把 控制 程序 
./control.sh 放 到 web 的 cgi 目录 下 ， 并 对 它 作 一 些 修 改 ， 以 使 它 符合 
CGI 的 规范 ， 这 些 规范 包 括 文档 输出 格式 的 表示 (在 文件 开头 需要 输出 
content-tpye: text/html 以 及 一 个 空白 行 ) 和 输入 参数 的 获取 (web MAK 
数 都 存放 在 QUERY_STRING 环境 变量 里 头 ) 。 因 此 一 个 非常 简单 的 CGI 控制 程 
序 可 以 写成 这 样 : 


#!/bin/bash 


FIFO=./fifo_test 
CI=$QUERY_STRING 


[ -z "$CI" ] && echo "the control info should not be empty" && e 
xit 


echo -e "content-type: text/html\n\n" 
echo $CI > $FIFO 


eae ecg control.sh 能 够 访问 到 fifo test 管道， 并且 有 写 权 
限 ， 以 便 通 过 浏览 器 控制 app.sh 


http://ipaddress\_or\_dns/cgi-bin/control.sh?0 


问号 ? 后 面 的 内 容 即 QUERY_STRING ， 类 似 之 前 的 $1 © 


ee a ee AEB ERAN ARN AERA ERE Le RLF 
的 暑期 课程 上 ， 我 们 就 通 ep A NA 达 的 远程 控制 。 首 先 ， 实 现 了 一 
a 达 的 转动 ， 包 括 转 速 ， 方 向 等 的 控制 。 为 了 实现 远程 
空 制 ， 我 们 设计 了 一 些 控制 码 ， 以 便 控 制 马达 转动 相关 的 不 同属 性 。 


在 C 语言 中 ， 如 果 要 使 用 有 名 管道 ， 和 Shell 类 似 ， 只 不 过 在 读 写 数据 时 用 
read ， write 调用 ， 在 创建 fifo 时 用 mkfifo HAHAM o 


信号 (Signal) 


言 号 是 软件 中 断 ，Linux 用 户 可 以 通过 kill 命令 给 某 个 进程 发 送 ee 
号 ， 也 可 以 通过 键盘 发 送 一 些 信 号 ， 比 如 CTRL+C 可 能 触发 SGIINT 信号 ， 
CTRL+\ 可 能 触发 SGIQUIT 信号 等 ， 除 此 之 外 ， 
发 送信 号 ， 比 如 在 访问 内 存 越界 时 产生 SGISEGV 人 和 信号， 当然 ， 进 程 本 身 也 可 以 通 
过 kill > raise 等 函数 给 自己 发 送信 号 。 对 于 Linux 下 支持 的 信号 类 型 ， 大 
家 可 以 通过 man 7 signal 或 者 kill -1 查看 到 相关 列表 和 说 明 。 


对 于 有 些 信 号 ， 进 程 会 有 默认 的 响应 动作 ， 而 有 些 信号 ， 进 程 可 能 直接 会 忽略 ， 当 
Ro APATA AE ET] AE A o A Shell 中 ， 可 以 通过 a 

A (Shell 内 置 命令 ) 来 设 定 响应 某 个 信号 的 动作 ae 
数 ) ， 而 在 C 语言 中 可 以 通过 signal WAARMEE E HLH BR o eh 
演示 trap 命令 的 用 法 。 


$ function signal_handler { echo "hello, world."; } #@Xsignal_h 
andler 42 

$ trap signal_handler SIGINT # 执 行 该 命令 设 定 : 收 到 SIGINT 信 号 时 打印 he 
llo, world 

$ hello, world # 按 下 CTRL+C， 可 以 看 到 屏幕 上 输出 了 he11o，wor1d 字 符 
串 


类 似 地 ， 如 果 设 定 信号 0 的 响应 动作 ， 那 么 就 可 以 用 trap 来 模拟 C 语言 程序 中 
的 atexit 程序 终止 函数 的 登记 ， 即 通过 trap signal_handler SIGQUIT 设 
ZAJ signal_handler 函数 将 在 程序 人 。 信 号 0 是 一 个 特别 的 信号 ， 在 
POSIX.1 中 把 信号 编号 0 定义 为 空 信号 ， 这 常 被 用 来 确定 一 个 特定 进程 是 否 仍旧 
存在 。 当 一 个 程序 退出 时 会 触发 该 信号 。 


$ cat sigexit.sh 
#!/bin/bash 


function signal_handler { 
echo "hello, world" 


} 

trap signal_handler 0 

$ chmod +x sigexit.sh 

$ ./sigexit.sh # 实 际 Shell 编 程 会 用 该 方式 在 程序 退出 时 来 做 一 些 清理 临时 文 
件 的 收尾 工作 

hello, world 


作业 和 作业 控制 


当 我 们 为 完成 一 些 复 杂 的 任务 而 将 多 个 命令 通过 |,\>,<，;，(,) 等 组 合 在 一 
时 ， 通 常 这 个 命令 序列 会 启动 多 个 进程 ， 它 们 间 通 过 管道 等 进行 通信 。 而 有 时 在 执 
行 一 个 任务 的 同时 ， 还 有 其 他 的 任务 需要 处 理 ， 那么 就 经 常会 在 命令 序列 的 最 后 加 


上 一 个 &， 或 者 在 执行 命令 后 ， iy CTRL+Z 让 前 一 个 命令 暂停 。 以 便 做 其 他 的 
任务 。 等 做 完 其 他 一 些 任务 以 后 ， 再 通过 fg 命令 把 后 台 任务 切换 到 前 台 。 这 样 
ae 而 那些 命令 序列 则 被 成 为 作业 ， 这 个 作业 可 能 
涉及 一 个 或 者 多 个 程序 ， 一 个 或 者 多 个 进程 。 下 面 演 示 一 下 几 个 常用 的 作业 控制 操 
作 。 


创建 后 侣 进程 ， 获 取 进 程 的 作业 号 和 进程 号 


$ sleep 50 & 
[1] 11137 


把 作业 调 到 前 台 并 暂停 


使 用 Shel 内 置 命令 fg 把 作业 1 调 到 前 台 运 行 ， 然 后 按 下 CTRL+Z 让 该 进程 
暂停 

$ fg %1 

sleep 50 

AZ 

[1]+ Stopped sleep 50 


查看 当前 作业 情况 


$ jobs # 查 看 当前 作业 情况 ， 有 一 个 作业 停止 

[1]+ Stopped sleep 50 

$ sleep 100 & # 让 另外 一 个 作业 在 后 台 运 行 

[2] 11138 

$ jobs # 查 看 当前 作业 情况 ， 一 个 正在 运行 ， 一 个 停止 
[1]+ Stopped sleep 50 

[2]- Running sleep 100 & 


启动 停止 的 进程 并 运行 在 


让 


人 
Vv 


$ bg %1 
[2]+ sleep 50 & 


不 过 ， 要 在 命令 行 下 使 用 作业 控制 ， 需 要 当前 Shell， 内 核 终 端 驱动 等 对 作业 控制 
支持 才 行 。 


e (UNIX 环境 高 级 编程 》 


打造 史上 最 小 可 执行 ELF 文 件 (45 字 节 ) 


打造 史上 最 小 可 执行 ELF 文件 (45 = 
打印 字符 串 ) 


e ale 
o 可 执行 文件 格式 的 选取 
o 链接 优化 
© 可 执行 文件 “减肥 ?实例 (从 6442 到 708 字 节 ) 
o 系统 默认 编译 
o 不 采用 默认 编译 
o 删除 对 程序 运行 没有 影响 的 节 区 
o 删除 可 执行 文件 的 节 区 表 
e 用 汇编 语言 来 重 写 Hello World (76 字 节 ) 
o 采用 默认 编译 
o 删除 掉 汇编 代码 中 无 关 紧 要 内 容 
o 不 默认 编译 并 删除 掉 无 关节 区 和 节 区 表 
o 用 系统 调用 取代 库 函 数 
o 把 字符 串 作 为 参数 输入 
o 寄存 器 赋值 重用 
o 通过 文件 名 传递 参数 
o 删除 非 必 要 指令 
e 合并 代码 段 、 程 序 关 和 文件 头 (52 字 节 ) 
o 把 代码 段 移入 文件 头 
o 把 程序 头 移 入 文件 头 
o 在 非 连续 的 空间 插入 代码 
o 把 程序 头 完 全 合 入 文件 头 
e。 汇编 语言 极限 精简 之 道 (45 字 节 ) 
e 小结 


。 参考 资料 


salem asin 度 分 析 了 ELF 文件 ， | Hello 
World 实例 逐步 演示 如 何 通过 各 种 常用 工具 来 分 析 ELF 文件 ， 并 逐步 精简 代 
码 。 


为 了 能 够 尽量 减少 可 执行 文件 的 大 小 ， 我 们 必须 了 解 可 执行 文件 的 格式 ， 以 及 链接 
生成 可 执行 文件 时 的 后 台 细 节 ( 即 最 终 到 底 有 哪些 内 容 被 链接 到 了 目标 代码 中 ) 。 
通过 选择 合适 的 可 执行 文件 格式 并 别 除 对 可 执行 文件 的 最 终 运 行 没 有 影响 的 内 容 ， 
就 可 以 实现 目标 代码 的 裁减 。 因 此 ， 通 过 探索 减少 可 执行 文件 大 小 的 方法 ， 就 相当 
于 实践 性 地 去 探索 了 可 执行 文件 的 格式 以 及 链接 过 程 的 细节 。 


当然 ， 算 法 的 优化 和 编程 语言 的 选择 可 能 对 目标 文件 的 大 小 有 很 大 的 影响 ， 在 本 文 
最 后 我 们 会 跟 参 考 资料 [1] 的 作者 那样 去 探 来 一 个 打印 Hello world 的 可 执行 文 
件 能 够 小 到 什么 样 的 地 步 。 


可 执行 文件 格式 的 选取 


可 执行 文件 格式 的 选择 要 满足 的 一 个 基本 条 件 是 : 目标 系统 支持 该 可 执行 文件 格 
式 ， 资 料 [2] 分 析 和 比较 了 UNIX 平台 下 的 三 种 可 执行 文件 格式 ， 这 三 种 格式 实 
际 上 代表 着 可 执行 文件 的 一 个 发 展 过 程 : 


© aout 文件 格式 非常 紧 次， 只 包含 了 程序 运行 所 必须 的 信息 〈 文 本 、 数 据 、 
BSS ) ， 而 且 每 个 section 的 顺序 是 固定 的 


| 


o coff 文件 格式 虽然 引入 了 一 个 节 区 表 以 支持 更 多 节 区 信息 ， 从 而 提高 了 可 扩展 
性 ， 但 是 这 种 文件 格式 的 重 定位 在 链接 时 就 已 经 完成 ， 因 此 不 支持 动态 链接 
(不 过 扩展 的 coff 支持 ) 。 


o elf 文件 格式 不 仅 动态 链接 ， 而 且 有 很 好 的 扩展 性 。 它 可 以 描述 可 重 定位 文件 、 
可 执行 文件 和 可 共享 文件 (动态 链接 库 ) 三 类 文件 。 


下 面 来 看 看 ELF 文件 的 结构 图 : 


文件 头 部 (ELF Header ) 

程序 头 部 表 (Program Header Table) 
节 区 1(Section1) 

节 区 2(Section2) 

节 区 3(Section3) 





节 区 头 部 (Section Header Table) 


无 论 是 文件 头 部 、 程 序 头 部 表 、 节 区 头 部 表 还 是 各 个 节 区 ， 都 是 通过 特定 的 结构 体 

(struct) 描 述 的 ， 这 些 结构 在 elf.h 文件 中 定义 。 文 件 头 司 gg SS 
小 、 运 行 平 台 、 程 序 入 口 、 程 序 头 部 表 和 节 区 头 部 表 等 信息 。 例 如 ， 我 们 可 以 通过 文件 头 部 
查看 该 ELF 文件 的 类 型 。 


$ cat hello.c  # 典 型 的 hello，world 程 序 
#include <stdio.h> 


int main(void) 

{ 
printf("hello, world!\n"); 
return 0; 


} 
$ gcc -c hello.c  # 编 译 ， 产 生 可 重 定向 的 目标 代码 
$ readelf -h hello.o | grep Type  # 通 过 reade1lf 查 看 文件 头 部 找 出 该 类 
型 
Type: REL (Relocatable file) 
$ gcc -o hello hello.o  # 生 成 可 执行 文件 
$ readelf -h hello | grep Type 
Type: EXEC (Executable file) 
$ gcc -fpic -shared -Wl, -soname, libhello.so.0 -o libhello.so.0.0 
hello.o #4 mRH#2E 
$ readelf -h libhello.so.0.0 | grep Type 
Type: DYN (Shared object file) 


ABW RABR (将 简称 节 区 表 ) 和 程序 头 部 表 有 什么 用 呢 ? 实际 上 前 者 只 对 可 重 定 
向 文件 有 用 ， 而 后 者 只 对 可 执行 文件 和 可 共享 文件 有 用 。 


节 区 表 是 用 来 描述 各 节 区 的 ， 包 括 各 节 区 的 名 字 、 大 小 、 类 型 、 上 庶 拟 内 存 中 的 位 
置 、 相 对 文件 头 的 位 置 等 ， 这 样 所 有 节 区 都 通过 节 区 表 给 描述 了 ， 这 样 连接 器 就 可 
以 根据 文件 头 部 表 和 节 ai 适 的 链 
接 ， 包 括 节 区 的 合并 与 重组 、 符 号 的 重 定位 (确认 符号 在 虚拟 内 存 中 的 地 址 ) 等 
ee DA (或 者 是 可 共享 文件 ) 。 如 果 可 执 

行文 件 中 使 用 了 动态 连接 库 ， 那 么 含 一 些 用 于 动态 符号 链接 的 节 区 。 我 们 可 以 
通过 readelf -S (或 objdump -h nae 查看 节 区 表 信 息 。 


$ readelf -S hello # 可 执行 文件 、 可 共享 库 、 可 重 定位 文件 默认 都 生成 有 节 区 表 


Section Headers: 


[Nr] Name Type Addr Off Size 
ES Flg Lk Inf Al 

[ 0] NULL 00000000 000000 000000 
00 0 0 0 

[ 1] .interp PROGBITS 08048114 000114 000013 
00 A 0 0 1 

[ 2] .note.ABI-tag NOTE 08048128 000128 000020 
00 AO 0 4 

[ 3] .hash HASH 08048148 000148 000028 


04 A 5 © 4 


[ 7] .gnu.version VERSYM 0804822a 00022a 00000 
a02 A 5 0 2 


[11] .init PROGBITS 08048274 000274 000030 
00 AX 0 © 4 


[13] . text PROGBITS 080482f0 0002f0 000148 


00 AX 0 0 16 
[14] .fini PROGBITS 08048438 000438 00001c 


00 AX 0 © 4 


三 种 类 型 文件 的 节 区 (各 个 常见 节 区 的 作用 请 参考 资料 [11]) 可 能 不 一 样 ， 但 是 有 几 
个 节 区 ， 例 如 ,text > .data > .bss 是 必须 的 ， 特 别 是 text ， 因 为 这 个 
节 区 包含 了 代码 。 如 果 一 个 程序 使 用 了 动态 链接 库 (引用 了 动态 连接 库 中 的 某 个 区 
数 ) ， 那 么 需要 interp TEAR ARE pA 动态 连接 器 程序 来 进行 动态 
符号 链接 ， 进 行 菜 些 符号 地 址 的 重 定 位 。 通 常 ， ,rel.text 节 区 只 有 可 重 定向 文 
件 有 ， 用 于 链接 时 对 代码 区 进行 重 定向 ， 而 .hash ， .plt ， .got 等 节 区 则 
只 有 可 执行 文件 (或 可 共享 库 ) A? ee 重要 。 还 有 一 些 节 
区 ， 可 能 仅仅 是 用 于 注释 ， 比 如 .comment ， 这 些 对 程序 的 运行 似乎 没有 影响 ， 
是 可 有 可 无 的 ， 不 过 有 些 节 区 虽然 对 程序 Ce 
程序 进行 调试 或 者 对 程序 运行 效率 有 影响 。 


虽然 三 类 文件 都 必须 包含 某 些 节 区 ， 但 是 节 区 表 对 可 重 定位 文件 来 说 才 是 必须 的 ， 

而 程序 的 执行 却 不 ， 只 需要 程序 头 ee sess 
过 如 果 需 要 对 可 执行 文件 或 者 动态 连接 库 进行 调试 ， 那 么 节 区 表 却 是 必要 的 ， 

将 不 知道 如 何 工作 。 下 面 来 介绍 程序 头 部 表 ， 它 可 通过 readelf - 

1 (或 objdump -p ) 查看 。 


$ readelf -1 hello.o # 对 于 可 重 定向 文件 ，gcc 没 有 产生 程序 头 部 ， 因 为 它 对 可 


重 定向 文件 没 用 


There are no program headers in this file. 
$ readelf -1 hello # 而 可 执行 文件 和 可 共享 文件 都 有 程序 头 部 


Program Headers: 


Type 


Flg Align 


PHDR 
R E 0x4 


INTERP 


R 0x1 


offset 


0x000034 


0x000114 


[Requesting program 


LOAD 


R E 0x1000 


LOAD 


RW QOx1000 
DYNAMIC 


RW 0x4 
NOTE 
R 0x4 


GNU_STACK 


RW 0x4 


0x000000 


0x000470 


0x000484 


0x000128 


0x000000 


VirtAddr PhysAddr FileSiz 
0x08048034 0x08048034 0x000e0 
0x08048114 0x08048114 0x00013 


interpreter: /lib/ld-linux.so 
0x08048000 0x08048000 0x00470 


0x08049470 0x08049470 0X0010c 


0x08049484 0x08049484 0x000d0 


0x08048128 0x08048128 0x00020 


0x00000000 0x00000000 0x00000 


Section to Segment mapping: 


Segment Sections... 


00 
01 
02 


.gnu.version .gnu.version_r .rel.dyn .rel.plt 
fini .rodata 


03 
04 
05 
06 


.eh_frame 


.dtors 


. dynamic 
.note.ABI-tag 


.interp .note.ABI-tag .hash .gnu.hash .dynsym 


$ readelf -1 libhello.so.0.0 # 节 区 和 上 面 类 似 ， 这 里 省 略 


MemSiz 


0x000e0 


0x00013 


2] 


0x00470 


0x00110 


0x000d0 


0x00020 


0x00000 


.dynstr 


.init .plt .text 


,jcr .dynamic .got .got.plt .data .bss 


从 上 面 可 看 出 程序 头 部 表 描 述 了 一 些 段 ( Segment ) ， 这 些 段 对 应 着 一 个 或 者 多 
个 节 区 ， 上 面 的 readelf -1 很 好 地 显示 了 各 个 段 与 节 区 的 映射 。 这 些 段 描述 了 
段 的 名 字 、 类 型 、 大 小 、 第 一 个 字 节 在 文件 中 的 位 置 、 将 占用 的 虚拟 内 存 大 小 、 在 
虚拟 内 存 中 的 位 置 等 。 这 样 系统 程序 解释 器 将 知道 如 何 把 可 执行 文件 加 载 到 内 存 中 
以 及 进行 动态 链接 等 动作 。 


该 可 执行 文件 包含 7 个 段 ，PHDR 指 程序 头 部 ， INTERP 正好 对 应 „interp 

节 区 ， 两 个 LOAD 段 包 含 程序 的 代码 和 数据 部 分 ， 分 别 包含 有 .text 和 
.data ， .bss 节 区 ， DYNAMIC R&S .daynamic ， 这 个 节 区 可 能 包含 动 
态 连接 库 的 搜索 路 径 、 可 重 定位 表 的 地 址 等 信息 ， 它 们 用 于 动态 连接 器 。 NOTE 

和 GNU_STACK 段 貌 似 作 用 不 大 ， 只 是 保存 了 一 些 辅助 信息 。 因 此 ， 对 于 一 个 不 

使 用 动态 连接 库 的 程序 来 说 ， 可 能 只 包含 LOAD 段 ， 如 果 一 个 程序 没有 数据 ， 那 
么 只 有 一 个 LOAD 段 就 可 以 了 。 


总 结 一 下 ，Linux 虽然 o ， 但 是 目前 ELF 较 通 用 ， 所 以 
选择 ELF 作为 我 们 的 讨论 对 象 。 通 过 上 面 对 ELF 文件 分 析 发 现 一 个 可 执行 的 
文件 可 能 包含 一 些 对 它 的 运行 没 用 e 息 ， 比 如 节 区 表 、 一 些 用 于 调试 、 注 释 的 节 
区 。 如 果 能 够 删除 这 些 信息 就 可 以 减少 可 执行 文件 的 大 小 ， 而 且 不 会 影响 可 执行 文 
件 的 正常 运行 。 


链 援 优化 


从 上 面 的 讨论 中 已 经 接触 了 动态 连接 库 。 ELF 中 引入 动态 连接 库 后 极 大 地 方便 了 
公共 有 函数 的 共享 ， 节 约 了 磁盘 和 内 存 空 间 ， 因 为 不 再 需要 把 那些 公共 有 函数 的 代码 链 
接 到 可 执行 文件 ， 这 将 减少 了 可 执行 文件 的 大 小 。 


与 此 同时 ， 静 态 链接 可 能 会 引入 一 些 对 代码 的 运行 可 能 并 非 必 须 的 内 容 。 你 可 以 从 
《GCC 编译 的 背后 (第 二 部 分 : 汇编 和 链接 ) 》 了 解 到 GCC 链接 的 细节 。 从 那 
篇 Blog 中 似乎 可 以 得 出 这 样 的 结论 : 仅仅 从 是 否 影响 一 个 C 语言 程序 运行 的 角度 
上 说 ， GCC 默认 链接 到 可 执行 文件 的 几 个 可 重 定位 文件 

( crt1.0 ， rti.o ， crtbegin.o > crtend.o > crtn.o ) 并 不 是 必须 
的 ， 不 过 值得 注意 的 是 ， 如 果 没 有 链接 那些 文件 但 在 程序 末尾 使 用 了 return 7 
4]> main 有 函数 将 无 法 返回 ， 因 此 需要 替换 为 exit WA: 另外 ， 既 然 程 序 在 
进入 main 之 前 有 一 个 入 口 ， 那 么 main 入 口 就 不 是 必须 的 。 因 此 ， 如 果 不 采 
用 默认 链接 也 可 以 减少 可 执行 文件 的 大 小 。 


可 执行 文件 “减肥 ”实例 (1.64422 708 F F ) 


这 里 主要 是 根据 上 面 两 点 来 介绍 如 何 减少 一 个 可 执行 文件 的 大 小 。 以 Hello 
World 为 例 。 


首先 来 看 看 默认 编译 产生 的 Hello world 的 可 执行 文件 大 小 。 


系统 默认 编译 


代码 同上 ， 下 面 是 一 组 演示 ， 


$ uname -r  # 先 查看 内 核 版 本 和 gcc 版 本 ， 以 便 和 你 的 结果 上 比较 
2.6.22-14-generic 
$ gcc --version 


gcc (GCC) 4.1.3 20070929 (prerelease) (Ubuntu 4.1.2-16ubuntu2) 


$ gcc -o hello hello.c  # 默 认 编 译 
$ wc -c hello  # 产 生 一 个 大 小 为 6442 字 节 的 可 执行 文件 


6442 hello 
不 采用 默认 编译 


可 以 考虑 编辑 时 就 把 return 0 替换 成 _exit(0) 并 包含 定义 该 函数 的 
unistd.h 头 文件 。 下 面 是 从 《GCC 编译 的 背后 (第 二 部 分 : 汇编 和 链接 ) 》 总 
结 出 的 Makefile 文件 。 


#file: Makefile 

#functin: for not linking a program as the gcc do by default 
#author: falcon<zhangjinw@gmail.com> 

#update: 2008-02-23 


MAIN = hello 

SOURCE = 

OBJS = hello.o 
TARGET = hello 

CC = gcc-3.4 -m32 
LD = ld -m elf_i386 


CFLAGSsS += -S 
CFLAGSC += -c 
LDFLAGS += -dynamic-linker /lib/ld-linux.so.2 -L /usr/lib/ -L /1 
ib -lc 
RM = rm -f 
SEDc = sed -i -e '/\#include[ "<]*unistd.h[ ">]*/d;' \ 
-i -e '11 \#include <unistd.h>' \ 
-i -e 's/return 0;/_exit(0);/' 
SEDs = sed -i -e 'sS/main/_start/g' 


all: $(TARGET) 


$(TARGET) : 

@$(SEDc) $(MAIN).c 

@$(CC) $(CFLAGSS) $(MAIN).c 

@$(SEDs) $(MAIN).s 

@$(CC) $(CFLAGSc) $(MAIN).s $(SOURCE) 

@$(LD) $(LDFLAGS) -o $@ $(OBJS) 
clean: 

@$(RM) $(MAIN).s $(OBJS) $(TARGET) 


把 上 面 的 代码 复制 到 一 个 Makefile 文 件 中 ， 并 利用 它 来 编译 hello.c。 


$ make #4a1% 

$ ./hello  ”# 这 个 也 是 可 以 正常 工作 的 

Hello World 

$ we -c hello  # 但 是 大 小 减少 了 4382 个 字 节 ， 减 少 了 将 近 70% 
2060 hello 

$ echo "6442-2060" | bc 


4382 
$ echo "(6442-2060)/6442" | bc -1 
. 68022353306426575597 


对 于 一 个 比较 小 的 程序 ， 能 够 减少 将 近 70% “ 没 用 的 "代码 。 


删除 对 程序 运行 没有 影响 的 节 区 


使 用 上 述 Makefile 来 编译 程序 ee 运行 没有 多 大 影响 的 文件 ， 
实际 上 也 相当 于 删除 了 一 些 “ 没 用 ”的 节 区 ， 可 以 通过 下 列 演示 看 出 这 个 实质 。 


$ make clean 


$ make 
$ readelf -1 hello | grep "O[0-9]\ \ '" 

00 

01 .interp 

02 .interp .hash .dynsym .dynstr .gnu.version .gnu.versio 
n_r .rel.plt .plt .text .rodata 

03 .dynamic .got.plt 

04 . dynamic 

05 


$ make clean 
$ gcc -o hello hello.c 
$ readelf -1 hello | grep "O[0-9]\ \ " 


00 
01 .interp 
02 .interp .note.ABI-tag .hash .gnu.hash .dynsym .dynstr 


.gnu.version .gnu.version_r 
.rel.dyn .rel.plt .init .plt .text .fini .rodata .eh_frame 


03 .ctors .dtors .jcr .dynamic .got .got.plt .data .bss 
04 . dynamic 
05 .note.ABI-tag 
06 
通过 比较 发 现 使 用 自 定义 的 Makefile 文件 ， 少 了 这 么 多 节 区 : ,bss .ctors 


.data .dtors .eh_frame .fini .gnu.hash .got .init ,jcr .note.ABI-tag 
.rel.dyn 。 再 看 看 还 有 哪些 节 区 可 以 删除 呢 ? 通 过 之 前 的 分 析 发 现 有 些 节 区 是 必 
须 的 ， 那 ,hash?,gnu.version? 呢 ， 通 过 strip -R (或 objcop -R ) Æl 
除 这 些 节 区 试 试 。 


$ wc -c hello 
2060 

$ time ./hello 
Hello World 


real OmO.001s 
user Om0.000s 
sys OmO .000s 


$ strip -R .hash hello 
$ wc -c hello 

1448 hello 

$ echo "2060-1448" | 
612 

$ time 
问题 ) 
Hello World 


bc 


./hello 


real omo .006S 
user OmO.000s 
sys Om0.000s 


$ strip -R .gnu.version hello 


$ we -c hello 

1396 hello 

$ echo "1448-1396" | 
52 

$ time ./hello 
Hello World 


bc 


# 查 看 大 小 ， 以 便 比 较 


# 我 们 比较 一 下 一 些 节 区 对 执行 时 间 可 能 存在 的 影响 


# 删 除 .hash 节 区 


# 减 少 了 612 字 节 


# 发 现 执 行 时 间 长 了 一 些 (实际 上 也 可 能 是 进程 调度 的 


# 删 除 .gnu.version 还 是 可 以 工作 


# 又 减少 了 52 字 节 


real OmO. 130s 

user OmO. 004s 

sys OMO. 000S 

$ strip -R .gnu.version_r hello  # 删 除 ,gnu.version_r 就 不 工作 了 

$ time ./hello 

./hello: error while loading shared libraries: ./hello: unsuppor 
ted version 0 of Verneed record 

过 删除 各 个 节 区 可 以 查看 哪些 节 区 对 程序 来 说 是 必须 的 ， 不 过 有 些 节 区 虽然 并 不 
响 程 序 的 运行 却 可 能 会 影响 程序 的 执行 效率 ， 这 个 可 以 上 面 的 运行 时 间 看 出 个 大 


。 通过 删除 两 个 “ 没 用 ”的 节 区 ， 我 们 又 减少 了 52+612 


> BP 664 字 节 


删除 可 执行 文件 的 节 区 表 


普通 的 工具 没有 办 法 删除 节 区 表 ， 但 是 参考 资 Re 了 这 样 一 个 工 


L E 可 以 从 这 里 下 载 到 那个 工具 ， 它 是 该 作者 写 序列 工具 ELFkickers 中 
的 一 个 。 


下 载 并 编译 ( 注 : 1.0 之 前 的 版 本 才 支 持 32 位 和 正常 编译 ， 新 版 本 在 代码 中 明确 限 
定 了 数据 结构 为 ”ELf64 ) 


$ git clone https://github.com/BR903/ELFkickers 
$ cd ELFkickers/sstrip/ 

$ git checkout f0622afa # 检 出 1.0 版 

$ make 


然后 复制 到 /usr/bin 下 ， 下 面 用 它 来 删除 节 区 表 。 


$ sstrip hello ee BR 

$ ./hello 还 是 可 以 正常 运行 ， 说 明 节 区 表 对 可 执行 文件 的 运行 没有 任 
何 影 响 

Hello World 

$ we -c hello # 大 小 只 剩 下 708 个 字 节 了 

708 hello 

$ echo "1396-708" | bc # 又 减少 了 688 个 字 节 。 

688 


通过 删除 Wo eae! 节 。 现 在 回头 看 看 相对 于 gcc R 
认 产 生 的 可 执行 文件 ， 通 过 删除 一 些 节 区 和 节 区 表 到 底 减 少 了 多 少 字 节 ? 减 幅 达到 
了 多 少 ? 


$ echo "6442-708" | bc # 


5734 
$ echo "(6442-708)/6442" | bc -1 
.89009624340266997826 


减少 了 5734 oF 7 > BR 90% ， 这 说 明 : 对 于 一 个 简短 的 hello.c 程序 
E> gcc 引入 了 将 近 oox 的 对 程序 运行 没有 影响 的 数据 虽然 通过 测 除 闻 区 
和 节 区 表 ， 使 得 最 终 的 文件 只 有 708 字 节 ， 但 是 打印 一 个 Hello World BA ® 


要 这 么 多 字 节 么 ? 事实 上 未 必 ， 因 为 : 


e 打印 一 段 Hello World 字符 串 ， 我 们 无 须 调 用 printf ， 也 就 无 须 包 含 动 
态 连 接 库 ， 因 此 interp ， .dynamic 等 节 区 又 可 以 去 掉 。 为 什么 ? 我们 
可 以 直接 使 用 系统 调用 `(sys_Wwrite) 来 打印 字符 囊 。 

e 另外 ， 我 们 无 须 把 Hello world 字符 串 存 放 到 可 执行 文件 中 ? 而 是 让 用 户 
把 它 当 作 参 数 输 入 。 


下 面 ， 继 续 进行 可 执行 文件 的 “减肥 ”。 
用 汇编 语言 来 重 写 "Hello World" (76 字 节 ) 


采用 默认 编译 


先 来 看 看 gcc 默认 产生 的 汇编 代码 情况 。 通 过 geo 的 -S 选项 可 得 到 汇编 代 
码 。 


$ cat hello.c # 这 个 是 使 用 _exit 和 printf 骂 数 的 版 本 
#include <stdio.h> /* printf */ 
#include <unistd.h> A O eed dl 


int main() 


{ 
printf ("Hello World\n"); 
_exit(0); 
} 
$ gcc -S hello.c # 生 成 汇编 
$ cat hello.s # 这 里 是 汇编 代码 
. file "hello.c" 
. section .rodata 
.LCO: 
,String "Hello World" 
.text 
.globl main 
. type main, @function 
main: 


leal A(%esp), %ecx 

andl $-16, %esp 

pushl -4(%ecx) 

pushl %ebp 

movl %esp, %ebp 

pushl %ecx 

subl $4, %esp 

movl $.LCO, (%esp) 

call puts 

movl $0, (%esp) 

call _exit 

.Size main, .-main 

.ident "GCC: (GNU) 4.1.3 20070929 (prerelease) (Ubuntu 4.1. 
2-16ubuntu2)" 

. section .note.GNU-stack,"",@progbits 
$ gcc -o hello hello.s  # 看 看 默认 产生 的 代码 大 小 
$ wc -c hello 
6523 hello 


1 除 掉 汇 编 代 码 中 无 关 紧要 内 容 


现在 对 汇编 代码 hello.s 进行 简单 的 处 理 得 到 ， 


.LCO: 
.String "Hello World" 
.text 
.globl main 
. type main, @function 
main: 


leal A(%esp), %ecx 
andl $-16, %esp 
pushl -4(%ecx ) 
pushl %ebp 

movl %esp, %ebp 
pushl %ecx 

subl $4, %esp 
movl $.LCO, (%esp) 
call puts 

movl $0, (%esp) 
call _exit 


再 编译 看 看 ， 


$ gcc -o hello.o hello.s 
$ we -c hello 


6443 hello 
$ echo "6523-6443" | bc  # 仅 仅 减少 了 80 个 字 节 
80 


不 默认 编译 并 删除 掉 无 关节 区 和 节 区 表 


如 果 不 采 用 默认 编译 呢 并 且 删 除 掉 对 程序 运行 没有 影响 的 节 区 和 节 区 表 呢 ? 


$ sed -i -e "S/main/_start/g" hello.s  # 因 为 没有 初始 化 ， 所 以 得 直接 进 
入 人 代码， 替换 main 为 _start 

$ as --32 -o hello.o hello.s 

$ ld -melf_i386 -o hello hello.o --dynamic-linker /1lib/1ld-linux. 
so.2 -L /usr/lib -1c 

$ ./hello 

hello world! 

$ wc -c hello 

1812 hello 

$ echo "6443-1812" | bc -1  # 和 之 前 的 实验 类 似 ， 也 减少 了 4k 左 右 

4631 

$ readelf -1 hello | grep "\ [0-9][0-9]\ " 


00 

01 .interp 

02 .interp .hash .dynsym .dynstr .gnu.version .gnu.versio 
n_r .rel.plt .plt .text 

03 .dynamic .got.plt 

04 . dynamic 


$ strip -R .hash hello 

$ strip -R .gnu.version hello 

$ wc -c hello 

1200 hello 

$ sstrip hello 

$ wc -c hello # 这 个 结果 比 之 前 的 798【〈 在 删除 所 有 垃圾 信息 以 后 ) 个 字 节 少 了 70 
8-676， 即 32 个 字 节 

676 hello 

$ ./hello 

Hello World 


容易 发 现 这 32 字 节 可 能 跟 节 区 ,rodata 有 关系 ， 因 为 刚才 在 链接 完 以 后 查看 节 
区 信息 时 ， 并 没有 .rodata 节 区 。 


用 系统 调用 取代 库 函 数 


前 面 提 到 ， 实 际 上 还 可 以 不 用 动态 连接 库 中 的 printf 函数 ， 也 不 用 直接 调用 
_exit ， 而 是 在 汇编 里 头 使 用 系统 调用 ， 这 样 就 可 以 去 掉 和 动态 连接 库 关联 的 内 
容 。 如 果 想 了 解 如 何在 汇编 中 使 用 系统 调用 ， 请 参考 资料 [9]。 使 用 系统 调用 重 写 以 
后 得 到 如 下 代码 ， 


.LCO: 


.String "Hello World\xa\x0" 


.text 
.global _start 
_start: 
xorl %eax, %eax 
movb $4, %al 
, len) 
xorl %ebx, %ebx 
incl %e Dx 
movl $.LCO, %ecx 
string 
xorl %edx, %edx 
movb $13, %d1 
ring 
int $0x80 
xorl %eax, %eax 
movl %eax, %ebx 
incl %eax 
int $0x80 


现在 编译 就 不 再 需要 动态 链接 器 


#eax = 4, sys_write(fd, addr 


#ebx = 1, standard output 


#ecx = $.LCO, the address of 
#edx = 13, the length of .st 
#ebx = 0 

#eax = 1, sys_exit 


ld-linux.so 了 ， 也 不 再 需要 链接 任何 库 。 


$ as --32 -o hello.o hello.s 
$ ld -melf_i386 -o hello hello.o 
$ readelf -1 hello 


Elf file type is EXEC (Executable file) 
Entry point 0x8048062 


There are 1 program headers, starting at offset 52 


Program Headers: 


Type offset VirtAddr PhysAddr FileSiz MemSiz 
Flg Align 

LOAD 0x000000 0x08048000 0x08048000 Ox0007b 0x0007b 
R E 0x1000 


Section to Segment mapping: 
Segment Sections... 


00 .text 
$ sstrip hello 
$ ./hello # 完 全 可 以 正常 工作 


Hello World 

$ wc -c hello 

123 hello 

$ echo "676-123" | bc  # 相 对 于 之 前 ， 已 经 只 需要 123 个 字 节 了 ， 又 减少 了 553 
个 字 节 

553 


可 以 看 到 效果 很 明显 ， 只 剩 下 一 个 LOAD 段 ， 它 对 应 .text 节 区 。 


把 字符 串 作 为 参数 输入 


不 过 是 否 还 有 办 法 呢 ?把 Hello world 作为 参数 输入 ， 而 不 是 硬 编码 在 文件 
中 。 所 以 如 果 处 理 参 数 的 代码 少 于 Hello world 字符 串 的 长 度 ， 那 么 就 可 以 达 
到 减少 目标 文件 大 小 的 目的 。 


先 来 看 一 个 能 够 打印 程序 参数 的 汇编 语言 程序 ， 它 来 自 参 考 资料 [9] 。 


. text 


.globl _start 


_start: 
popl 
vnext: 
popl 
test 
jz 
movl 
xorl 
strlen: 
movb 
inc 
inc 
test 
jnz 
movb 
movl 
movl 
int 
jmp 
exit: 
movl 
xorl 
Int 
ret 


编译 看 看 效果 ， 


$ as --32 -o args.o args.s 


%ECX 


%ECX 
%ECX, %ECX 
exit 
%ecx, %ebx 
%edx, %edx 


(%ebx), %al 


%edx 
%ebx 
%al, %al 
strlen 


$10, -1(%ebx) 


$4, %eax 
$1, %ebx 
$0x80 
vnext 


$1, %eax 
%ebx, %ebx 
$0x80 


# argc 


# argv 
# 空 指针 表明 结 


# 系统 调用 号 (sys_write) 
# 文件 描述 符 (stdout) 


# 系统 调用 号 (sys_exit) 
# 退出 代码 


$ ld -melf_i386 -o args args.o 
$ ./args "Hello World" 


./args 


Hello World 


$ sstrip args 


$ wc -c args 


130 args 


# 能 够 打印 输入 的 字符 串 ， 不 错 


# 处 理 以 后 只 剩 下 130 字 节 


可 以 看 到 ， 这 个 程序 可 以 接收 用 户 输 入 的 参数 并 打印 出 来 ， 不 过 得 到 的 可 执行 文件 
为 130 字 节 ， 比 之 前 的 123 个 字 节 还 多 了 7 个 字 节 ， 看 看 还 有 改进 么 ? 分 析 上 面 
的 代码 后 ， 发 现 ， 原 来 的 代码 有 些 地 方 可 能 进行 优化 ， 优 化 后 得 到 如 下 代码 。 


.global _start 


_start: 
popl %ecx #3% Barge 
vnext: 
popl %ecx # 弹 出 argv[9] 的 地 址 
test %ecx, %ecx # 空 指针 表明 结束 
jz exit 


movl %ecx, %ebx  # 复 制 字 符 串 地 址 到 ebx 寄存 器 
xorl %edx, %edx  # 把 字符 串 长 度 清 零 


strlen: # 求 输入 字符 串 的 长 度 
movb (%ebx), %al # 复 制 字符 到 al， 以 便 判 断 是 否 为 字符 串 结束 符 \ 
0 
inc %edx #edX 存 放 每 个 当前 字符 串 的 长 度 
inc %ebx #ebx 存 放 每 个 当前 字符 的 地 址 
test %al, %al # 判 断 字符 串 是 否 结束 ， 即 是 否 遇 到 \ 
jnz strlen 
movb $10, -1(%ebx) # 在 字符 串 末尾 插入 一 个 换行 符 \Oxa 
xorl %eax, %eax 
movb $4, %al #eax = 4, sys_write(fd, addr, len) 
xorl %ebx, %ebx 
incl %ebx #ebx = 1, standard output 
int $0x80 
jmp vnext 
exit: 


xorl %eax, %eax 


movl %eax, %ebx #ebx = 0 
incl %eax #eax = 1, sys_exit 
int $0x80 


再 测试 (记得 先 重 新 汇编 、 链 接 并 删除 没 用 的 节 区 和 节 区 表 ) © 


$ wc -c hello 
124 hello 


现在 只 有 124 个 字 节 ， 不 过 还 是 比 123 个 字 节 多 一 还 有 什么 优化 的 办 法 么 


先 来 看 看 目前 hello 的 功能 ， 感 觉 不 太 符 合 要 求 ， 因 为 只 需要 打印 Hello 
World ， 所 以 不 必 处 理 所 有 的 参数 ， 仅 仅 需要 接收 并 打印 一 个 参数 就 可 以 。 这 样 的 
话 ， 把 jmp vnext (2 字 节 ) 这 个 循环 去 掉 ， 然 后 在 第 一 个 pop %ecx 语句 之 
前 加 一 个 pop %ecx (1 FP) 语句 就 可 以 。 


.global _start 


_Start: 
popl %ecx 
popl %ecx # 弹 出 argc[9] 的 地 址 
popl %ecx # 弹 出 argv[1] 的 地 址 


test %ecx, %ecx 
jz exit 
movl %ecx, %ebx 
xorl %edx, %edx 
strlen: 
movb (%ebx), %al 
inc %edx 
inc %ebx 
test %al, %al 
jnz strlen 
movb $10, -1(%ebx) 
xorl %eax, %eax 
movb $4, %al 
xorl %ebx, %ebx 
incl %ebx 
int $0x80 
exit: 
xorl %eax, %eax 
movl %eax, %ebx 
incl %eax 
int $0x80 


现在 刚好 123 字 节 ， 和 原来 那个 代码 大 小 一 样 ， 不 过 仔细 分 析 ， 还 是 有 减少 代码 的 
余地 : 因为 在 这 个 代码 中 ， 用 了 一 段 额外 的 代码 计算 字符 串 的 长 度 ， 实 际 上 如 果 仅 
仅 需要 打印 Hello World ， 那 么 字符 囊 的 长 度 是 固定 的 ， 即 12 。 所 以 这 段 代码 


可 去 掉 ， 与 此 同时 测试 字符 串 是 否 为 空 也 就 没有 必要 (不 过 可 能 影响 代码 健壮 
性 1 ) ， 当 然 ， 为 了 能 够 在 打印 字符 囊 后 就 换行 ， 在 囊 的 末尾 需要 加 一 个 回 车 
( $10 ) 并 且 设 置 字符 串 的 长 度 为 12+1 ， 即 13， 


.global _start 
_start: 
popl %ecx 
popl %ecx 
popl %ecx 
movb $10,12(%ecx) ##Hello World 的 结尾 加 一 个 换行 符 
xorl %edx, %edx 
movb $13, %d1l 
xorl %eax, %eax 
movb $4, %al 
xorl %ebx, %ebx 
incl %ebx 
int $0x80 
xorl %eax, %eax 
movl %eax, %ebx 
incl %eax 
int $0x80 


再 看 看 效果 ， 


$ wc -c hello 
111 hello 


现在 只 剩 下 111 字 节 ， 比 刚才 少 了 12 FP o HAMS TRR? 还 有 措施 么 ? 


还 有 ， 仔 细 分 析 发 现 : 系统 调用 sys_exit 和 sys_write 都 用 到 了 eax 和 
ebx 寄存 器 ， 它 们 之 间 刚 好 有 那么 一 点 巧合 : 


e sys exit 调用 时 ， eax 需要 设置 为 1， ebx 需要 设置 为 0。 
e sys write 调用 时 ， ebx 刚好 是 1。 


因此 ， 如 果 在 sys_exit 调用 之 前 ， 先 把 ebx 复制 到 eax 中 ， 再 对 ebx 
减 一 ， 则 可 减少 两 个 字 节 。 


不 过 ， 因 为 标准 输入 、 标 准 输出 和 标准 错误 都 指向 终端 ， 如 果 往 标准 输入 写 入 一 些 
东西 ， 它 还 是 会 输出 到 标准 输出 上 ， 所 以 在 上 述 代码 中 如 果 在 sys write 之 前 

ebx 设置 为 0， 那 么 也 可 正常 往 屏幕 上 打印 Hello World ， 这 样 的 

话 ， sys_exit 调用 前 就 没 必 要 修改 ebx ， 而 仅 需 把 eax 设置 为 1， 这 样 就 
可 减少 3 个 字 节 。 


.global _start 
_start: 
popl %ecx 
popl %ecx 
popl %ecx 
movb $10, 12(%ecx) 
xorl %edx, %edx 
movb $13, %d1l 
xorl %eax, %eax 
movb $4, %al 
xorl %ebx, %ebx 
int $0x80 
xorl %eax, %eax 
incl %eax 
int $0x80 


看 看 效果 ， 


$ wc -c hello 
108 hello 


现在 看 一 下 纯粹 的 指令 还 有 多 少 ? 


$ readelf -h hello | grep Size 


Size of this header: 52 (bytes) 
Size of program headers: 32 (bytes) 
Size of section headers: 9 (bytes) 
$ echo "108-52-32" | bc 
24 


通过 文件 名 传递 参数 


对 于 标准 的 main 远 数 的 两 个 参数 ， 文 件 名 实际 上 作为 第 二 个 参数 (数组 ) 的 第 
一 个 元 素 传 入 ， 如 果 仅 仅 是 为 了 打印 一 个 字符 串 ， 那 么 可 以 打印 文件 名 本 身 。 例 
如 ， 要 打印 Hello World ， 可 以 把 文件 名 命名 为 Hello world PPT ° 


这 样 地 话 ， 代 码 中 就 可 以 删除 掉 一 条 popl 指令 ， 减 少 1 个 字 节 ， 变 成 107 个 字 


a 


P o 


.global _start 
_start: 
popl %ecx 
popl %ecx 
movb $10, 12(%ecx) 
xorl %edx, %edx 
movb $13, %d1l 
xorl %eax, %eax 
movb $4, %al 
xorl %ebx, %ebx 
int $0x80 
xorl %eax, %eax 
incl %eax 
int $0x80 


看 看 效果 ， 


$ as --32 -o hello.o hello.s 

$ ld -melf_i386 -o hello hello.o 
$ sstrip hello 

$ wc -c hello 

107 

$ mv hello "Hello world" 

$ export PATH=./:$PATH 

$ Hello\ World 

Hello World 


删除 非 必 要 指令 


在 测试 中 发 现 ， edx ， eax ， ebx 的 高 位 即使 不 初始 化 ， 也 常 为 0， 如 果 不 考 
虑 健壮 性 ( 仅 这 里 实验 用 ， 实 际 使 用 中 必须 考虑 健壮 性 ) ， 几 条 xori 指令 可 以 
移 除 掉 。 


另外 ， 如 果 只 是 为 了 演示 打印 字符 串 ， 完 全 可 以 不 用 打印 换行 符 ， 这 样 下 来 ， 代 码 
可 以 综合 优化 成 如 下 几 条 指令 : 


.global _start 
_start: 
popl %ecx # argc 
popl %ecx # argv[0O] 
movb $5, %d1 # 设置 字符 串 长 度 
movb $4, %al # eax = 4, KEARARAAS, sys_write(fd, addr, 
len) : ebx, ecx, edx 
int $0x80 
movb $1, %al 
int $0x80 


看 看 效果 : 


$ as --32 -o hello.o hello.s 

$ ld -melf_i386 -o hello hello.o 
$ sstrip hello 

$ wc -c hello 

96 


合并 代码 段 、 程 序 头 和 文件 头 (52 字 节 ) 


把 代码 段 移 入 文件 头 


纯粹 的 指令 只 有 96-84=12 个 字 节 了 ， 还 有 办 法 再 减少 目标 文件 的 大 小 么 ? 如 果 
看 了 参考 资料 [1]， 看 样子 你 又 要 蠢蠢欲动 了 : 这 12 个 字 节 是 否 可 以 插入 到 文件 头 
P eee eae E reer 
一 下 这 三 部 分 的 十 六 进 制 内 容 。 


$ hexdump -C hello -n 52 # 文 件 头 (52bytes) 

00000000 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 OO 00 | .EL 
Ee | 

00000010 02 00 03 00 01 00 00 00 54 80 04 08 34 00 00 00 |... 
eee Treads) 

00000020 00 00 00 00 00 00 00 00 34 00 20 00 01 00 00 00 |... 
ee | 

00000030 00 00 00 00 ee 
| 

00000034 

$ hexdump -C hello -s 52 -n 32 # 程 序 头 (32bytes ) 

00000034 01 00 00 00 00 00 00 00 00 80 04 08 00 80 04 08 |... 


00000044 6c 00 00 00 6c 00 00 00 05 00 00 00 00 10 00 00 |l.. 


00000054 

$ hexdump -C hello -s 84 # 实 际 代码 部 分 (12bytes ) 

00000054 59 59 b2 05 bO 04 cd 80 bO 01 cd 80 MA 
ee | 

00000060 


从 上 面 结果 发 现 ELF 文件 头 部 和 程序 头 部 还 有 好 些 空洞 (0) ， 是 否 可 以 把 指令 
字 节 分 散 放 入 到 那些 空洞 里 或 者 是 直接 履 盖 掉 那 些 系统 并 不 关心 的 内 容 ? 抑或 是 把 
代码 压缩 以 后 放 入 可 执行 文件 中 ， 并 在 其 en ee 不 可 以 是 通过 一 
些 代码 覆盖 率 测 试 工具 〈 gcov > prof ) 对 你 的 代码 进行 优化 ? 


在 继续 介绍 之 前 ， 先 来 看 一 个 dd 工具 ， 可 以 用 来 直接 “编辑 ” ELF 文件 ， 例 
如 ， 


$ hexdump -C hello -n 16 # SAM? elf XH MIE FF 
00000000 7f 45 4c 46 01 01 01 00 O00 00 00 00 00 00 00 00 |.EL 


00000010 

$ echo -ne "\xff" | dd of=hello bs=1 count=1 seek=15 conv=notrun 
C # 把 最 后 一 个 字 节 @ 履 盖 掉 

1+0 records in 

1+0 records out 

1 byte (1 B) copied, 3.7349e-05 s, 26.8 kB/s 

$ hexdump -C hello -n 16 H 写 入 后 果然 被 覆盖 

00000000 7f 45 4c 46 01 01 01 00 00 00 00 00 OO 00 OO ff |.EL 


00000010 


e seek=15 表示 指定 写 入 位 置 为 第 15 个 (从 第 0 个 开始 ) 

e conv=notrunc 选项 表示 要 保留 写 入 位 置 之 后 的 内 容 ， 默 认 情 况 下 会 截断 。 
e bs=1 表示 一 次 读 / 写 1 个 

e count=1 表示 总 共 写 1 次 


覆盖 多 个 | 连续 的 值 : 
把 第 12，13，14，15 连续 4 个 字 节 全 部 赋值 为 gxff 。 
$ echo -ne "\xff\xff\xff\xff" | dd of=hello bs=1 count=4 seek=12 
conv=notrunc 


$ hexdump -C hello -n 16 
00000000 7f 45 4c 46 01 01 01 00 00 00 00 OO ff ff ff FF |.EL 


00000010 


下 面 ， 定位 置 写 入 90xff 确认 哪些 部 分 对 于 可 执行 文件 的 执 和 
否 有 影响 ? 这 步 测 试 后 发 现 依然 能 够 执行 的 情况 : 


$ hexdump -C hello 

00000000 7f 45 4c 46 ff ff ff ff ff ff ff ff ff ff ff ff |.EL 
Er ae | 

00000010 02 00 03 00 ff ff ff ff 54 80 04 08 34 00 00 00 |... 
eee. Tce eal 

00000020 ff ff ff ff ff ff ff ff 34 00 20 00 01 00 ff ff |... 
ANE A rere 

00000030 ff ff ff ff 01 00 00 00 OO 00 00 00 00 80 04 08 |... 


Tet, AET | 
00000040 00 80 04 08 60 00 00 00 60 00 OO 00 05 00 00 OO |... 


TE | 
00000050 00 10 00 00 59 59 b2 05 bO 04 cd 80 bO O01 cd 80 |... 


00000060 


可 以 发 现 ， 文 件 头 部 分 ， 有 30 个 字 节 即使 被 自 改 后 ， 该 可 执行 文件 依然 可 以 正常 
执行 。 这 意味 着 ， 这 30 字 节 是 可 以 写 入 其 他 代码 指令 字 节 的 。 而 我 们 的 实际 代码 
指令 只 剩 下 12 个 ， 完 全 可 以 直接 移 到 前 12 个 gxff 的 位 置 ， 即 从 第 4 个 到 第 

15 个 。 


而 代码 部 分 的 起 始 位 置 ， 通 过 readelf -h 命令 可 以 看 到 : 


$ readelf -h hello | grep "Entry" 
Entry point address: 0x8048054 


上 面 地 址 的 最 后 两 位 9x54=84 就 是 代码 在 文件 中 的 偏 移 ， 也 就 是 刚好 从 程序 头 之 
后 开始 的 ， 也 就 是 用 文件 头 (52) + 程序 头 (32) 个 字 节 开始 的 12 FPR EAM FH 4 
个 字 节 开始 的 12 字 节 内 容 即 可 。 


上 面 的 dd 命令 从 echo 命令 获得 输入 ， 下 面 需 过 可 执行 文件 本 身 获得 输 
入 ， 先 把 代码 部 分 移 过 去 : 


$ dd if=hello of=hello bs=1 skip=84 count=12 seek=4 conv=notrunc 


12+0 records in 
12+0 records out 


12 bytes (12 B) copied, 4.9552e-05 s, 
$ hexdump -C hello 
00000000 7f 45 4c 46 59 59 


EN Vieni Means es | 
00000010 02 00 
ewe es Tee 
00000020 00 00 
epee A A| 


00000060 


03 


00 


00 


04 


00 


接着 把 代码 部 分 截 掉 : 


00 


00 


00 


08 


00 


01 


00 


01 


60 


59 


00 


00 


00 


00 


59 


b2 


00 


00 


00 


00 


b2 


05 


00 


00 


00 


00 


05 


bo 


54 


34 


00 


60 


bo 


242 kB/s 


04 cd 80 


80 04 08 


00 20 00 


00 00 00 


00 00 00 


04 cd 80 


bo 


34 


01 


00 


05 


bo 


01 


00 


00 


80 


00 


01 


cd 


00 


00 


04 


00 


cd 


80 


00 


00 


08 


00 


80 


JEL 


$ dd if=hello of=hello bs=1 count=1 skip=84 seek=84 

0+0 records in 

0+0 records out 

© bytes (© B) copied, 1.702e-05 s, 0.0 kB/s 

$ hexdump -C hello 

00000000 7f 45 4c 46 59 59 b2 05 bO 04 cd 80 bO 01 cd 80 |.EL 


00000010 02 00 03 00 01 00 00 00 54 80 04 08 34 00 00 00 |... 
eee A | 
00000020 00 00 00 OO 00 00 OO 00 34 00 20 00 01 00 00 00 |... 


00000030 00 00 00 00 01 00 00 00 00 00 00 00 00 80 04 08 |... 
00000040 00 80 04 08 60 00 00 00 60 00 00 00 05 00 00 00 |... 
00000050 00 10 00 00 | Serre 


| 
00000054 


这 个 时 候 还 不 能 执行 ， 因 为 代码 在 文件 中 的 位 置 被 移动 了 ， 相 应 地 ， 文 件 头 中 的 
Entry point address ， 即 文件 入 口 地 址 也 需要 被 修改 为 Ox8048004 ° 


即 需要 把 9x54 所 在 的 第 24 个 字 节 修改 为 ”OQx04 


$ echo -ne "\x04" | dd of=hello bs=1 count=1 seek=24 conv=notrun 
C 

1+0 records in 

1+0 records out 

1 byte (1 B) copied, 3.7044e-05 s, 27.0 kB/s 

$ hexdump -C hello 

00000000 7f 45 4c 46 59 59 b2 05 bO 04 cd 80 bO O01 cd 80 |.EL 


00000010 02 00 03 00 01 00 00 00 04 80 04 08 34 00 00 00 |... 
eye inet te ea 
00000020 84 00 00 00 OO 00 00 OO 34 OO 20 00 01 00 28 00 |... 


TE 4. ...(.| 
00000030 05 00 02 00 01 00 00 00 O00 00 00 00 00 80 04 08 |... 


00000040 00 80 04 08 60 00 00 00 60 00 00 00 05 00 00 00 |... 


00000050 00 10 00 00 
修改 后 就 可 以 执行 了 。 


把 程序 头 移 入 文件 头 


程序 头 部 分 经 过 测试 发 现 基 本 上 都 不 能 修改 并 且 需 要 是 连续 的 ， 程 序 头 有 32 个 字 
节 ， 而 文件 头 中 连续 的 9xff 可 以 被 自 改 的 只 有 从 第 46 个 开始 的 6 个 了 ， 另 

外 ， 程 序 头 刚好 是 01 00 开头 ， 而 第 44，45 个 刚好 为 01 00 ， 这 样 地 话 ， 这 
两 个 字 节 文 件 头 可 以 跟 程 序 头 共享 ， 这 样 地 话 ， 程 序 头 就 可 以 往 文件 头 里 头 移动 8 
个 字 节 了 。 


$ dd if=hello of=hello bs=1 skip=52 seek=44 count=32 conv=notrun 
C 


再 把 最 后 8 个 没 用 的 字 节 删除 掉 ， 人 保留 84-8=76 个 字 节 : 


$ dd if=hello of=hello bs=1 skip=76 seek=76 
$ hexdump -C hello 
00000000 7f 45 4c 46 59 59 b2 05 bO 04 cd 80 bO 01 cd 80 |.EL 


00000010 02 00 03 00 01 00 00 00 04 80 04 O8 34 00 00 00 |... 
eek et es Ay 
00000020 84 00 00 OO OO 00 00 OO 34 00 20 00 01 00 00 00 |... 


00000030 00 00 00 00 00 80 04 08 00 80 04 08 60 00 00 00 |... 


AN | 
00000040 60 00 00 00 05 00 00 00 O00 10 00 00 ee 


0000004c 


另外 ， 还 需要 把 文件 头 中 程序 头 的 位 置信 息 改 为 44， 即 第 28 个 字 节 ， 原 来 是 
0x34 > PP 52 的 位 置 。 


$ echo "obase=16; ibase=10;44" | bc H 先 把 44 转 换 是 16 进 制 的 9x2C 
2C 

$ echo -ne "\x2C" | dd of=hello bs=1 count=1 seek=28 conv=notrun 
C # 修改 文件 头 

1+0 records in 

1+0 records out 

1 byte (1 B) copied, 3.871e-05 s, 25.8 kB/s 

$ hexdump -C hello 

00000000 7f 45 4c 46 59 59 b2 05 bO 04 cd 80 bO 01 cd 80 |.EL 
EYN E | 

00000010 02 00 03 00 01 00 00 00 04 80 04 08 2c 00 00 00 |... 
nag ene cee pis 

00000020 84 00 00 00 00 00 00 00 34 00 20 00 01 00 00 00 |... 
este sa Aen 

00000030 00 00 00 00 00 80 04 08 O00 80 04 08 60 00 00 00 |... 


An ae AN 
00000040 60 00 00 00 05 00 00 00 O00 10 00 00 pe 


0000004c 


修改 后 即 可 执行 了 ， 目 前 只 剩 下 76 个 字 节 : 


$ wc -c hello 
76 


在 非 连续 的 空间 插入 代码 
另外 ， 还 有 12 个 字 节 可 以 放 代 码 ， 见 9xff 的 地 方 : 


$ hexdump -C hello 

00000000 7f 45 4c 46 59 59 b2 05 bO 04 cd 80 bO 01 cd 80 |.EL 
EY Veena ee | 

00000010 02 00 03 00 ff ff ff ff 04 80 04 08 2c 00 00 00 |... 


ee ore 
00000020 ff ff ff ff ff ff ff ff 34 00 20 00 01 00 00 00 |... 


ee ere 
00000030 00 00 00 OO OO 80 04 O8 O00 80 04 O8 60 00 00 00 |... 


S F 
00000040 60 00 00 OO 05 00 00 0O O00 10 00 00 eee 


0000004c 


不 过 因为 空间 不 是 连续 的 ， 需 要 用 到 跳 转 指令 作为 跳板 利用 不 同 的 空间 。 
后 


例如 ， 如 果 要 利用 后 面 的 gxff 的 空间 ， 可 以 把 第 14，15 位 置 的 cd 80 指令 
替换 为 一 条 跳 转 指令 ， 比 如 跳 转 到 第 20 个 字 节 的 位 置 ， 从 跳 转 指令 之 后 的 16 到 
20 刚好 4 个 字 节 。 


然后 可 以 参考 X86 指令 编码 表 (也 可 以 写成 汇编 生成 可 执行 文件 后 用 hexdump 
查看 ) ， 可 以 把 jmp 指令 编码 为 : Qxeb 0x04 ° 


$ echo -ne "\xeb\x04" | dd of=hello bs=1 count=2 seek=14 conv=no 
trunc 


然后 把 原来 位 置 的 cd 80 移动 到 第 20 个 字 节 开始 的 位 置 : 


$ echo -ne "\xcd\x80" | dd of=hello bs=1 count=2 seek=20 conv=no 
trunc 


依然 可 以 执行 ， 类 似 地 可 以 利用 更 多 非 连 续 的 空间 。 


把 程序 头 完 全 合 入 文件 头 


在 阅读 参考 资料 [1] 后 ， 发 现 有 更 多 深层 次 的 探讨 ， 通 过 分 析 Linux 系统 对 ELF 
文件 头 部 和 程序 头 部 的 解析 ， 可 以 更 进一步 合并 程序 头 和 文件 头 。 


该 资料 能 够 把 最 简 的 ELF 文件 (简单 返回 一 个 数值 ) 压缩 到 45 DFP AWE 
非常 极端 的 努力 ， 思 路 可 以 充分 借鉴 。 在 充分 理解 原文 的 基础 上 ， 我 们 进行 更 细致 
地 梳理 。 


首先 对 ELF 文件 头 部 和 程序 头 部 做 更 彻底 的 理解 ， 并 具体 到 每 一 个 字 节 的 含义 以 
及 在 Linux 系统 下 的 实际 解析 情况 。 


先 来 看 看 readelf -a 的 结果 : 


$ as --32 -o hello.o hello.s 

$ ld -melf_i386 -o hello hello.o 
$ sstrip hello 

$ readelf -a hello 


ELF Header: 
Magic: 7f 45 4c 46 01 01 01 00 0000 00 OO 00 00 00 00 
Class: ELF32 
Data: 2's complement, little endi 
an 
Version: 1 (current) 
OS/ABI: UNIX - System V 
ABI Version: 0 
Type: EXEC (Executable file) 
Machine: Intel 80386 
Version: 0x1 
Entry point address: 0x8048054 
Start of program headers: 52 (bytes into file) 
Start of section headers: © (bytes into file) 
Flags: 0x0 
Size of this header: 52 (bytes) 
Size of program headers: 32 (bytes) 
Number of program headers: 1 
Size of section headers: 0 (bytes) 
Number of section headers: 0 


Section header string table index: 0 


There are no sections in this file. 


There are no sections to group in this file. 


Program Headers: 


Type Offset VirtAddr PhysAddr FileSiz MemSiz 
Flg Align 

LOAD 0x000000 Ox08048000 Ox08048000 Ox00060 Ox00060 
R E 0x1000 


然后 结合 /usr/include/linux/elf.h 分 别 做 详细 注解 。 


首先 是 52 字 节 的 ELF 文件 头 的 结构 体 elf32_hdr 


变量 类 型 


unsigned 
char 


Elf32_Half 


Elf32_Half 


Elf32_Word 


Elf32_Addr 


Elf32_Off 


Elf32_ Off 


Elf32_Word 


Elf32_Half 


Elf32_Half 


Elf32_Half 


Elf32_Half 


Elf32_Half 


Elf32_Half 


变量 名 


e_ident[EL_ NIDENT] 


e_type 


e_machine 


e_version 


e_entry 


e_phoff 


e_shoff 


e_flags 


e_ehsize 


e_phentsize 


e_phnum 


e_shentsize 


e_shnum 


e_shstrndx 


< i) 


16 


说 明 
ELF 前 四 个 标识 文件 类 型 
指定 为 可 执行 文件 


指示 目标 机 类 型 ， 例 如 : 
Intel 386 


当前 只 有 一 个 版 本 存在 ， 
被 忽略 了 


代码 入 口 = 加 载 地 址 
(p_vaddr+.text 偏 移 ) 


程序 关 Phdr 的 偏 移 地 址 ， 
用 于 加 载 代码 


所 有 节 区 相关 信息 对 文件 
执行 无 效 


Intel 架构 未 使 用 


文件 头 大 小 ，Linux 没 做 校 


程序 头 入 口 大 小 ， 新 内 核 
有 用 


程序 头 入 口 个 数 


所 有 节 区 相关 信息 对 文件 
执行 无 效 


所 有 节 区 相关 信息 对 文件 
执行 无 效 


所 有 节 区 相关 信息 对 文件 
执行 无 效 


变量 类 型 ELF 说 明 类 型 
Elf32 Word p_type 4 ”标记 为 可 加 载 段 必须 
Elf32 Off ”poffset 4 相对 程序 头 的 偏 移 地 址 必须 

~ 9 页 5 a iE 

Elf32 Addr  p_vaddr 4 eae 0x0~0x80000000 > ® 3} 7 
IN aE 

Elf32 Addr p pad 4  ” 物理 地 址 ， 暂 时 没 用 

| re PEJ 可 调 
Elf32 Word p filesz 4 加 载 的 文件 大 小 ，>=real size ea 
aE 

ee eee 可 调 
Elf32 Word p_memsz 4 加 载 所 需 内 存 大 小 ，>= p_filesz 
aE 

R 其 一 个 上 暗 指 a iE 

Elf32 Word p_flags 4 Serene D Ta 
aE 


Elf32 Word p_align 4 PIC( 共 享 库 需 要 )， 对 执行 文件 无 效 


接着 ， 咱 们 把 Elf 中 的 文件 头 和 程序 头 部 分 可 调整 和 可 策 疏 的 字 节 (52 + 32 = 84 
个 ) 全 部 用 特别 的 字体 标记 出 来 。 


$ hexdump -C hello -n 84 


00000000 7f 45 4c 46 04 64+ 04 00-00-0808 08-00-08-08-08 
00000010 02 00 03 00 040909-9 54 80 04 08 34 00 00 00 
00000020 84-68-00-08-08-08-08-89 34 00 20 00 01 00 28-00 
00000030 695-99-62 99|01 00 00 00 00 00 00 00 00 80 04 08 
00000040 88-89-0488 60 00 00 00 60 00 00 00 05 00 00 00 
00000050 9869-16-69-68 

00000054 


bit | 线 之 前 为 文件 头 ， 之 后 为 程序 头 ， 之 前 的 000000xx 为 偏 移 地 址 。 


打造 史上 最 小 可 执行 ELF 文 件 (45 字 节 ) 


如 果 要 把 程序 头 彻 底 合并 进 文件 头 。 从 上 述 信 息 综合 来 看 ， 文 件 头 有 4 处 必须 保 
留 ， 结 合资 料 [1]， 经 过 对 比 发 现 ， 如 果 把 第 4 行 开 始 的 程序 头 往 上 平移 3 行 ， 也 
就 是 : 


00000000 ========= 64-04+-04-08-66-00-00-08-08-08-08-88 
00000010 02 00 03 00 0460-99-99 54 80 04 08 34 00 00 00 
00000020 84-00-90-99 
00000030 ========= 01 00 00 00 00 00 00 00 00 80 04 08 
00000040 60-89-48 60 00 00 00 60 00 00 00 05 00 00 00 
00000050 0040-90-99 
00000054 
把 可 直接 合并 的 先 合并 进去 ， 效 果 如 下 
(LFE) 
00000000 ========= 01 00 00 00 00 00 00 00 00 80 04 08 (^^ p_vaddr) 


00000010 02 00 03 00 69-60-09-99 54 80 04 08 34 00 00 00 


00000020 =================== AA e_entry AN e_phoff 
(程序 头 ) 
00000030 ========= 01 00 00 00 00 00 00 00 00 80 04 08 (^^ p_vaddr) 


00000040 02 00 03 00 60 00 00 00 60 00 00 00 05 00 00 00 
00000050 ========= “M p filesz ^^ p_memsz ““p_flags 
00000054 

接着 需要 设法 处 理 好 可 调整 的 6 处 ， 可 以 逐个 解决 ， 从 易 到 难 。 
e 首先 ， 合 并 e_phoff 与 p flags 


在 合并 程序 头 以 后 ， 程 序 头 的 偏 移 地 址 需要 修改 为 4， 即 文件 的 第 4 个 字 节 开始 ， 
也 就 是 说 e_phoff 需要 修改 为 04。 
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而 恰好 ，p_flags 的 read(4) 和 exec(1) 可 以 只 选 其 一 ， 所 以 ， 只 保留 
read(4) 即 可 ， 刚 好 也 为 04。 


合并 后 效果 如 下 : 
(文件 头 ) 
00000000 ========= 01 00 00 00 00 00 00 00 00 80 04 08 (^^ p_vaddr) 


00000010 02 00 03 00 66-0999-99 54 80 04 08 04 00 00 00 


00000020 三 二 二 三 三 二 二 三 二 三 三 三 三 二 三 三 三 二 三 AAA e_entry 
(程序 头 ) 
00000030 ========= 01 00 00 00 00 00 00 00 00 80 04 08 (^^ p_vaddr) 


00000040 02 00 03 00 60 00 00 00 60 00 00 00 04 00 00 00 

00000050 =========  p_filesz ^^ p_memsz 

00000054 

e 接 下 来 ， 合 并 e_entry > p_filesz , p_memsz 和 p_vaddr 
从 早 前 的 分 析 情 况 来 看 ， 这 4 个 变量 基本 都 依赖 p_vaddr ， 也 就 是 程序 的 加 载 地 
址 ， 大 体 的 依赖 关系 如 下 : 

e_entry = p_vaddr + text offset = p_vaddr + 84 = p_vaddr + 0x54 

p_memsz = e_entry 


p_memsz >= p_filesz， 可 以 简单 取 p_filesz = p_memsz 


p_vaddr = page alignment 


所 以 ， 首 先 需 要 确定 p vaddr ， 通 过 测试 ， 发 现 p_vaddr 最 低 必 须 有 64k > x% 
就 是 0X00010000， 对 应 到 hexdump 的 little endian 导出 结果 ， 则 为 ”00 
00 01 00 ° 


需要 注意 的 是 ， 为 了 尽量 少 了 分 配 内 存 ， 我 们 选择 了 一 个 最 小 的 p_vaddr ， ho 
申请 的 内 存 太 大 ， 系 统 将 无 法 分 配 。 


接着 ， 计 算出 另外 3 个 变量 : 


e_entry = 0x00010000 + 0x54 = 0x00010054 FP 54 00 01 00 
p_memsz = 54 00 01 00 
p_filesz = 54 00 01 00 


00000000 ========= 01 00 00 00 00 00 00 00 00 00 01 00 
00000010 02 00 03 00 54 00 01 00 54 00 01 00 04 00 00 00 
00000020 ======== 

好 了 ， 直 接 把 内 容 烧 入 : 


$ echo -ne "\x01\xOO\xXO0\xOO\xXOO\xOO\xXOO\x00" \ 
"\x00\x00\x01\x00\x02\x00\x03\x00" \ 
"\xX54\x00\x01\x00\x54\x00\x01\x00\x04" |\ 
rest ae lis 
dd of=hello bs=1 count=25 seek=4 conv=notrunc 


WAIPARA (52 +32 + 12 = 96) 之 后 的 所 有 内 容 ， 查 看 效果 如 下 : 


$ dd if=hello of=hello bs=1 count=1 skip=96 seek=96 

$ hexdump -C hello -n 96 

00000000 7f 45 4c 46 01 00 00 00 O00 00 00 00 00 00 01 00 |.EL 
Fee vote scr tite en nance | 

00000010 02 00 03 00 54 00 01 00 54 00 01 00 04 00 00 00 |... 
aie Dea once | 

00000020 84 00 00 00 00 00 00 00 34 00 20 00 O01 00 28 00 |... 
Pere Ae eee 

0000003 05 00 02 00 01 00 00 00 O00 00 00 00 00 80 04 08 |... 


SR | 
00000040 00 80 04 08 60 00 00 00 60 OO OO 00 05 00 00 OO |... 


Re e ee | 
00000050 00 10 00 00 59 59 b2 05 bg 04 cd 80 bg 61 cd 80 |... 


00000060 


最 后 的 工作 是 查看 文件 头 中 剩 下 的 可 签收 的 内 容 ， 并 把 代码 部 分 合并 进去 ， 程 序 头 
已 经 合 入 ， 不 再 显示 。 


00000000 7f 45 4c 46 01 00 00 00 00 00 00 00 00 00 01 00 
00000010 02 00 03 00 54 00 01 00 54 00 01 00 04 00 00 00 
00000020 84-00-090-09-09-09-09-09 34 00 20 00 01 00 28-09 
00000030 05-00-02-09 

00000040 

00000050 ============= 59 59 b2 05 b0 04 cd 80 b0 01 cd 80 
00000060 


我 们 的 指令 有 12 FF > FRADA 14 个 字 节 ， 理 论 上 一 定 放 得 下 ， 不 过 因为 
把 程序 头 搬 进去 以 后 ， 这 14 个 字 节 并 不 是 连续 ， 刚 好 可 以 用 上 我 们 之 前 的 跳 转 指 
令 处 理 办 法 来 解决 。 

并 且 ， 加 入 2 个 字 节 的 跳 转 指 令 ， 刚 好 是 14 个 字 节 ， 惟 好 把 代码 也 完全 包含 进 了 
文件 头 。 


在 预 留 好 跳 转 指令 位 置 的 前 提 下 ， 我 们 把 代码 部 分 先 合并 进去 : 


00000000 7f 45 4c 46 01 00 00 00 00 00 00 00 00 00 01 00 
00000010 02 00 03 00 54 00 01 00 54 00 01 00 04 00 00 00 
00000020 59 59 b2 05 b0 04 66-00 34 00 20 00 01 00 cd 80 
00000030 b0 01 cd 80 


接 下 来 设计 跳 转 指令 ， 跳 转 指令 需要 从 所 在 位 置 跳 到 第 一 个 cd 80 所 在 的 位 置 ， 相 
SEO 个 字 节 ， 根 据 jmp 短 跳 转 的 编码 规范 ， 可 以 设计 为 ”9xeb 0x06 ° HAE 
效果 如 下 


00000000 7f 45 4c 46 01 00 00 00 00 00 00 00 00 00 01 00 
00000010 02 00 03 00 54 00 01 00 54 00 01 00 04 00 00 00 
00000020 59 59 b2 05 b0 04 eb 06 34 00 20 00 01 00 cd 80 
00000030 b0 01 cd 80 

A dd 命令 写 入 ， 分 两 段 写 入 : 


$ echo -ne "\x59\x59\xb2\xO5\xbO\x04\xeb\x06" | \ 
dd of=hello bs=1 count=8 seek=32 conv=notrunc 


$ echo -ne "\xcd\x80\xbO\x01\xcd\x80" | \ 
dd of=hello bs=1 count=6 seek=46 conv=notrunc 


代码 合 入 以 后 ， 需 要 修改 文件 头 中 的 代码 的 偏 移 地 址 ， 即 oe _entry ， 也 就 是 要 把 
原来 的 偏 移 84 (0x54) 修改 为 现在 的 偏 移 ， 即 0x20 © 


$ echo -ne "\x20" | dd of=hello bs=1 count=1 seek=24 conv=notrun 


C 


修改 完 以 后 恰好 把 合并 进 的 程序 头 p_memsz ， 也 就 是 分 配给 文件 的 内 存 改 小 
了 ， p_filesz 也 得 相应 改 小 。 


$ echo -ne "\x20" | dd of=hello bs=1 count=1 seek=20 conv=notrun 


C 


程序 头 和 代码 都 已 经 合 入 ， 最 后 ， 把 52 字 节 之 后 的 内 容 全 部 删 掉 : 


$ dd if=hello of=hello bs=1 count=1 skip=52 seek=52 
$ hexdump -C hello 
00000000 7f 45 4c 46 01 00 00 00 O00 00 00 00 00 00 01 00 |.EL 


00000010 02 00 03 00 20 00 01 00 20 00 01 00 04 00 00 00 |... 
Seen eee | 

00000020 59 59 b2 05 bO 04 eb 06 34 00 20 00 01 00 cd 80 |YY. 
anes Die teh ol 

0000003 bO 01 cd 80 

$ export PATH=./:$PATH 

$ hello 

hello 


代码 和 程序 头 部 分 合并 进 文件 头 的 汇总 情况 : 
00000000 7f 45 4c 46 61 690-99-99-99-99-96-96-96-66-61 66 
00000010 92 09-03-00-20-090-91.00-20-09-9160-94.00-00.09 
00000020 59-59-205 b0 04 eb 06 34 00 20 00 01 00 cd 80 
00000030 b0 01 cd 80 

最 后 ， 我 们 的 成 绩 是 : 


$ wc -c hello 
52 


史上 最 小 的 可 打印 Hello world (2 :要 完全 打印 得 把 代码 中 的 5 该 为 13， 并 且 
把 文件 名 该 为 该 字符 串 ) 的 ELF 文件 是 52 个 字 节 。 打 破 了 资料 [1] 作者 创造 的 
纪录 : 


$ cd ELFkickers/tiny/ 
$ wc -c hello 
59 hello 


需要 特别 提 到 的 是 ， 该 作者 创造 的 最 小 可 执行 Ef 是 45 个 字 节 。 


12% TB NALS RARE ARAE AG BA > MFT BHR AR CHAK 
间 ， 而 文件 末尾 的 7 个 0 FPF Linux 加 载 时 会 自动 填充 ， 所 以 可 以 删 掉 ， 所 
以 最 终 的 文件 大 小 是 52 -7 即 45 个 字 节 。 


其 大 体 可 实现 如 下 : 


.global _start 
_start: 
mov $42, “bl # 设置 返回 值 为 42 
xor %eax, %eax # eax = 0 
inc %eax # eax = eax+1， 设 置 系统 调用 号 ， sys_exit() 
int $0x80 


保存 为 ret.s， 编 译 和 执行 效果 如 下 : 


$ as --32 -o ret.o ret.s 

$ ld -melf _ i386 -o ret ret.o 
$ ./ret 

42 


代码 字 节 数 可 这 么 查看 : 


$ ld -melf _ i386 --oformat=binary -o ret.bin ret.o 
$ hexdump -C ret.bin 

0000000 b3 2a 31 cO 40 cd 80 

0000007 


这 里 只 有 7 了 条 指令 ， 刚 好 可 以 能 入 ， 而 最 后 的 6 个 字 节 因 为 可 黄 改 为 0， 并 且 内 核 
可 自动 填充 0， 所 以 干脆 可 以 连续 删 掉 最 后 7 个 字 节 的 0 : 

00000000 7f 45 4c 46 01 00 00 00 00 00 00 00 00 00 01 00 

00000010 02 00 03 00 54 00 01 00 54 00 01 00 04 00 00 00 

00000020 b3 2a 31 c0 40 cd 80 00 34 00 20 00 01 00 00 00 


00000030 00 00 00 00 


可 以 直接 用 已 经 合并 好 程序 头 的 hello 来 做 实验 ， 这 里 一 并 截 掉 最 后 的 7 个 0 


a 。 


字 节 : 


$ cp hello ret 
$ echo -ne "\xb3\x2a\x31\xcO\x40\xcd\x80" |\ 
dd of=ret bs=1 count=8 seek=32 conv=notrunc 
$ dd if=ret of=hello bs=1 count=1 skip=45 seek=45 
$ hexdump -C hello 
00000000 7f 45 4c 46 01 00 00 00 O00 00 00 00 00 00 01 00 |.EL 


00000020 b3 2a 31 cO 40 cd 80 06 34 00 20 00 01 real 
.@...4. .. | 

0000002d 

$ we -c ret 

45 ret 

$ ./ret 

$ echo $? 

42 


如 果 想 快速 构建 该 ELF 文件 ， 可 以 直接 使 用 下 述 Shell 代码 : 


#!/bin/bash 


generate_ret_elf.sh -- Generate a 45 bytes Elf file 


$ bash generate_ret_elf.sh 
$ chmod a+x ret.elf 

$ ./ret.elf 

$ echo $? 

42 


+ +t + Ht HH HF HF OF OF 


ret="\x7f\x45\x4c\x46\x01\x00\x00\x00" 
ret=${ret}"\x00\x00\x00\x00\x00\x00\x01\x00" 
ret=${ret }"\x02\x00\x03\x00\x20\x00\x01\x00" 
ret=${ret }"\x20\x00\x01\x00\x04\x00\x00\x00" 
ret=${ret}"\xb3\x2a\x31\xcO\x40\xcd\x80\x06" 
ret=${ret}"\x34\x00\x20\x00\x01" 


echo -ne $ret > ret.elf 


又 或 者 是 直接 参照 资料 [1] 的 tiny.asm 就 行 了 ， 其 代码 如 下 : 


; ret.asm 


equ 


BITS 32 
org 
db 
dd 
type 
dd 
offset 
dd 
vaddr 
dw 
paddr 
dw 
dd 
filesz 
dd 
memsz 
dd 
flags 
_start: 
mov 
align 
xor 
inc 
int 
db 
dw 
dw 
db 
filesize 
编译 和 运行 效果 如 下 : 


0x00010000 


QOx7F, "ELF" 
1 


$$ 


$ - $$ 


f. 


7 


了 


7 


了 


7 


了 


了 


/ 
/ 
/ 
/ 
/ 


了 


e_ident 


e_type 


e_machine 
e_version 


e_entry 


e_phoff 


e_shoff 


e_flags 


e_ehsize 
e_phentsize 
e_phnum 
e_shentsize 
e_shnum 
e_shstrndx 


$ nasm -f bin -o ret ret.asm 
$ chmod +x ret 

$ ./ret ; echo $? 

42 

$ we -c ret 

45 ret 


下 面 也 给 一 下 本 文 精简 后 的 hello 的 nasm 版 本 : 


; hello.asm 


BITS 32 


type 


offset 


vaddr 


paddr 


filesz 


memsz 


_hext: 


filesize 


org 


db 
dd 


dd 


dd 


dd 


dd 


pop 


pop 
mov 
mov 


jmp 
dw 
dw 
dw 


mov 
int 


int 


equ 


0x00010000 


QOx7F, "ELF" 
1 


$$ 


ecx ; argc 


ecx ; argv[0] 
di5 ; str len 
al, 4 ; sys_write(fd, 


f. 


7 


了 


7 


了 


7 


了 


了 


e_ident 

; PL 

; pL 

; PL 
e_type ; P 
e_machine 
e_version pa 
e_entry pe 
e_phoff a oL 
e_shoff n pa 
e_flags 


addr, len) : ebx, ec 


_next ; jump to next part of the code 


0x80 ; syscall 
al, 1 ; eax=1,sys_exit 
0x80 ; syscall 


$ - $$ 


; e_ehsize 
; e_phentsize 
; e_phnum 
; e_shentsize 
; e_shnum 
; e_shstrndx 


编译 和 用 


$ nas 
$ chm 
$ exp 
$ hel 
hello 
$ wc 
52 


法 如 下 : 


m -f bin -o hello hello.asm 
od at+x hello 

ort PATH=./:$PATH 

lo 


-c hello 


经 过 一 番 努 力 ， ATAT 的 完整 binary 版 本 如 下 : 


# hel 
# 
# as 


lo.s 


--32 -o hello.o hello.s 


# ld -melf_i386 --oformat=binary -o hello hello.o 


# 


e 64k 


_load 


able 


„equ LOAD_ADDR, ©x00010000 # Page aligned load addr, her 
equ E ENTRY, LOAD_ADDR + (_start - _1load) 

.equ P_MEM_SZ, E_ENTRY 

.equ P_FILE_SZ, P_MEM_SZ 

,byte OXx7F 

-ascii "ELF" # e_ident, Magic Number 

.long 1 # p_type, load 
seg 

.long 0 # p_offset 

. long LOAD_ADDR # p_vaddr 
.word 2 # e_type, exec # p_paddr 
.word 3 # e machine, Intel 386 target 
long, P_FILE_SZ # e_version # p_filesz 
.long E_ENTRY # e_entry # p_memsz 
.long 4 # e phoff # p_flags, rea 


d(exe 


file "hello.s" 
global _start, _load 


c) 


. text 


_start: 
popl %ECX # argc # e_shoff # p_align 
popl %ecx # argv[0] 
mov $5, %dl # str len # e flags 
mov $4, %al # sys_write(fd, addr, len) : ebx, ecx, edx 
jmp next # jump to next part of the code 
.word 0x34 # e ehsize = 52 
.word 0x20 # e_phentsize = 32 
.word 1 # e_phnum = 1 
.text 
_next: int $0x80 # syscall # e_shentsize 
mov $1, %al # eax=1,sys_exit # e_shnum 
int $0x80 # syscall # e_shstrndx 


编译 和 运行 效果 如 下 


$ as --32 -o hello.o hello.s 

$ ld -melf_i386 --oformat=binary -o hello hello.o 
$ export PATH=./:$PATH 

$ hello 

hello 

$ wc -c hello 

52 hello 


注 : 编译 时 务必 要 加 --oformat=binary 参数 ， 以 便 直 接 基 于 源 文 件 构建 一 
进 制 的 Elf 文件 ， 否则 会 被 ld 默认 编译 ， 自 动 填充 其 他 内 容 。 


~Z 


汇编 语言 极限 精简 之 道 (45 字 节 ) 


经 过 上 述 努 力 ， 我 们 已 经 完全 把 程序 头 和 代码 都 融入 了 52 字 节 的 ELF 文件 头 ， 
还 可 以 再 进一步 吗 ? 


基于 资料 一 ， 如 果 再 要 努力 ， 只 能 设法 把 ELIf 末尾 的 7 个 0 字 节 删 除 ， 但 是 由 
于 代码 已 经 把 ELIf 末尾 的 7 字 节 0 字符 都 十 满 了 ， 所 以 要 想 在 这 一 块 努力 ， 只 
能 继 续 压 缩 代码 o 


继续 研究 下 代码 先 : 


\\ 


.global _start 
_start: 
popl %ecx # argc 
popl %ecx # argv[0] 
movb $5, %dl # 设置 字符 串 长 度 
movb $4, %al # eax = 4， 设 置 系统 调用 号 ，sys _write(fd, addr, 
len) : ebx, ecx, edx 
int $0x80 
movb $1, %al 
int $0x80 


查看 对 应 的 编码 : 


$ as --32 -o hello.o hello.s 

$ ld -melf_i386 -o hello hello.o --oformat=binary 

$ hexdump -C hello 

00000000 59 59 b2 05 bO 04 cd 80 bO 01 cd 80 | YY. 


0000000c 


每 条 指令 对 应 的 编码 映射 如 下 : 


指令 编码 说 明 
popl %ecx 59 argc 
popl %ecx 59 argv[0] 
movb $5， b2 = 


ok dj 05 设置 字符 串 长 度 

movb $4, b0 eax = 4, 设置 系统 调用 号 , sys_write(fd, addr, len) : ebx, 
%al 04 ecx, edx 

f cd : P 

int $0x80 30 触发 系统 调用 

movb $1, b0 区 

ofal 01 eax = 1, sys_ exit 

. cd 7 z 

int $0x80 30 触发 系统 调用 


可 以 观察 到 : 


e popl 的 指令 编码 最 简洁 。 

e int $0x80 重复 了 两 次 ， 而 且 每 条 都 占用 了 2 字 节 
e movb 每 条 都 占用 了 2 字 节 

e eax 有 两 次 赋值 ， 每 次 占用 了 2 字 节 

e popl %ecx 取出 的 argc 并 未 使 用 


根据 之 前 通过 参数 传递 字符 串 的 想法 ， 咱 们 是 否 可 以 考虑 通过 参数 来 设置 变量 呢 ? 


理论 上 ， 传 入 多 个 参数 ， 通 过 pop 弹出 来 赋予 eax, ecx 即 可 ， 但 是 实际 
上 ， 由 于 从 参数 栈 里 头 pop 出 来 的 参数 是 参数 的 地 址 ， 并 不 是 参数 本 身 ， 所 以 该 
方法 行 不 通 。 


不 过 由 于 第 一 个 参数 取出 的 是 数字 ， 并 且 是 参数 个 数 ， 而 且 目 前 的 那 条 popl 
%ecx 取出 的 arge 并 没有 使 有 用， 那么 刚好 可 以 用 来 设置 eax ， 蔡 换 后 如 下 : 


.global _start 
_start: 

popl %eax # eax = 4， 设 置 系统 调 用 号 ，sys write(fd, addr, le 
n) : ebx, ecx, edx 

popl %ecx # argv[9]， 字 符 串 

movb $5, %dl # 设置 字符 串 长 度 

int $0x80 

movb $1, %al # eax = 1, sys_exit 

int $0x80 


这 里 需要 传 入 4 个 参数 ， 即 让 栈 弹 出 的 第 一 个 值 ， 也 就 是 参数 个 数 赋 了 予 eax > 
就 是 : hello5 41 ° 


难道 我 们 只 能 把 该 代码 优化 到 10 个 字 节 ? 
合 


巧合 地 是 ， 当 偶然 改 成 这 样 的 情况 下 ， 该 代码 还 能 正常 返回 。 


.global _start 
_start: 

popl %eax # eax = 4， 设 置 系统 调 用 号 ，sys write(fd, addr, le 
n) : ebx, ecx, edx 

popl %ecx # argv[9]， 字 符 串 

movb $5, %d1 # 设置 字符 串 长 度 

int $0x80 

loop _start H 触发 系统 退出 


注 : 上 面 我 们 使 用 了 loop 指令 而 不 是 jmp 指令 ， 因 为 jmp _start 产生 的 
代码 更 长 ， 而 loop _start 指令 只 有 两 个 字 节 。 


这 里 相当 于 删除 了 movb $1, %al ， 最 后 我 们 获得 了 8 个 字 节 。 但 是 这 里 为 什么 
能 够 工作 呢 ? 


经 过 分 析 arch/x86/ia32/ia32entry.S ， 我 们 发 现 当 系统 调用 号 无 效 时 (超过 
系统 调用 入 口 个 数 ) ， 内 核 为 了 健壮 考虑 ， 必 须要 处 理 这 类 异常 ， 并 通过 
ia32_badsys 让 系统 调用 正常 返回 。 


这 个 可 以 这 样 验证 : 


.global _start 
_start: 

popl %eax # argc, eax = 4， 设 置 系统 调用 号 ， sys_write(fd, ad 
dr, len) : ebx, ecx, edx 

popl %ecx # argv[0], X% 

mov $5, %dl # argv[1]， 字 符 串 长 度 

int $0x80 

mov $0xffffffda, %eax # 设置 一 个 非法 调用 号 用 于 退出 

int $0x80 


那 最 后 的 结果 是 ， 我 们 产生 了 一 个 可 以 正常 打印 字符 串 ， 大 小 只 有 45 字 节 的 
Elf 文件 ， 最 终 的 结果 如 下 : 


# hello.s 

# 

# $ as --32 -o hello.o hello.s 

# $ ld -melf_i386 --oformat=binary -o hello hello.o 


# $ export PATH=./:$PATH 
# $ hello 0 0 0 
# hello 
# 
.file "hello.s" 
.global _start, _load 
equ LOAD_ADDR, 0x00010000 # Page aligned load addr, her 
e 64k 
equ E ENTRY, LOAD _ADDR + (_start - _load) 
.equ P_MEM_SZ, E_ENTRY 
.equ P_FILE_SZ, P_MEM_SZ 
_load: 
,byte OXx7F 
Tasci ERE # e_ident, Magic Number 
.long 1 # p_type, load 
able seg 
.long © # p_offset 
.long LOAD_ADDR # p_vaddr 
.word 2 # e_type, exec # p_paddr 
.word 3 # e_machine, Intel 386 target 
.long P_FILE_SZ # e_version # p_filesz 
.long E_ENTRY # e_entry # p_memsz 
.long 4 # e_phoff # p_flags, read(ex 
ec) 
.text 
_start: 
popl %eax # argc # e_shoff # p_align 
# 4 args, eax = 4, sys_write(fd, addr, len) 
ebx, ecx, edx 
# set 2nd eax = random addr to trigger bad sy 
scall for exit 
popl %ecx # argv[0] 
mov $5, %dl # str len # e_flags 
int $0x80 
loop _start # loop to popup a random addr as a bad syscal 
1 number 
.word 0x34 # e_ehsize = 52 
.word 0x20 # e_phentsize = 32 


,byte 1 # e_phnum = 1, remove trailing 7 b 
ytes with 0 value 
# e shentsize 
# e_shnum 
# e_shstrndx 


效果 如 下 


$ as --32 -0 hello.o hello.s 

$ ld -melf_i386 -o hello hello.o --oformat=binary 
$ export PATH=./:$PATH 

$ hello 0 0 0 

hello 

$ wc -c hello 

45 hello 


到 这 里 ， 我 们 获得 了 史上 最 小 的 可 以 打印 字符 事 的 EIf 文件 ， 是 的 ， 只 有 45 个 
字 节 


o 


到 这 里 ， 关 于 可 执行 文件 的 讨论 暂且 结束 ， 最 后 来 一 段 小 小 的 总 结 ， 那 就 是 我 们 设 
法 去 减少 可 执行 文件 大 小 的 意义 ? 


实际 上 ， 通 过 这 样 一 个 讨论 深入 到 了 很 多 技术 的 细节 ， 包 括 可 执行 文件 的 格式 、 目 
标 代码 链接 的 过 程 、Linux 下 汇编 语言 开发 等 。 与 此 同时 ， 可 执行 文件 大 小 的 减少 
本 身 对 餐 入 式 系 统 非常 有 用 ， 如 果 删 除 那 些 对 程序 运行 没有 影响 的 节 区 和 节 区 表 将 
BY ARAB A KD > ERA Ee a ee 
的 很 多 函数 可 能 不 会 被 使 用 到 ， 因 此 也 可 以 通过 某 种 方式 剔除 [8] ，[10] 。 


或 许 ， 你 还 会 发 现 更 多 有 趣 的 意义 ， 欢 迎 给 我 发 送 邮 件 ， 一 起 讨论 。 


参考 资料 


e A Whirlwind Tutorial on Creating Really Teensy ELF Executables for Linux 
e UNIX/LINUX 平台 可 执行 文件 格式 分 析 
o C/C++ 程序 编译 步骤 详解 


打造 史上 最 小 可 执行 ELF 文 件 (45 字 节 ) 


e The Linux GCC HOW TO 

e ELF: From The Programmers Perspective 

e Understanding ELF using readelf and objdump 
e Dissecting shared libraries 

© HAR Linux 小 型 化 技术 

e Linux 汇编 语言 开发 指南 

e Library Optimizer 

e ELF file format and ABI : [1] > [2] > [3] > [4] 

o 1386 指令 编码 表 
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代码 测试 、 调 试 与 优化 


代码 测试 、 调 试 与 优化 


ene 
o 代码 测试 
o 测试 程序 的 运行 时 间 time 
o 函数 调用 关系 图 calltree 
o 性 能 测试 工具 gprof & kprof 
o KALE & EMIX gcov & ggcov 
o 内 存 访问 越界 catchsegy, libSegFault.so 
o 缓冲 区 溢出 libsafe.so 
o 内 存 汇 露 Memwatch, Valgrind, mtrace 
e 代码 调试 
o 静态 调试 : printf + gcc -D (打印 程序 中 的 变量 ) 
o 交互 式 的 调试 (WAAR) : gdb (支持 本 地 和 远程 ) /ald (汇编 指令 级 别 
的 调试 ) 
a KANAAWIAZ > gdbserver/gdb 
m 汇编 代码 的 调试 ald 
o 实时 调试 : gdb tracepoint 
o 调试 内 核 
© 代码 优化 
© 参考 资料 


代码 写 完 以 后 往往 要 做 测试 (或 验证 ) 、 调 试 ， 可 能 还 要 优化 。 
o 关于 测试 (或 验证 ) 


常 对 应 着 两 个 英文 单词 Verification 和 Validation ， 在 资料 [1] 中 有 
nome 个 的 定义 和 一 些 深入 的 讨论 ， 在 资料 [2] 中 ， 很 多 人 给 出 了 自己 的 看 
法 。 但 是 正如 资料 [2] 提 到 的 : 
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The differences between verification and validation are unimportant 
except to the theorist; practitioners use the term V&V to refer to all of the 
activities that are aimed at making sure the software will function as 
required. 


所 以 ， 无 论 测 试 (或 验证 ) 目的 都 是 为 了 让 软件 的 功能 能 够 达到 需求 。 测 试 和 
验证 通常 会 通过 一 些 形式 化 (貌似 可 以 简单 地 认为 有 数学 根据 的 ) 或 者 非 形式 
化 的 方法 去 验证 程序 的 功能 是 否 达 到 要 求 。 


e 关于 调试 


而 调试 对 应 英文 debug，debug 叫 “ 驱 除 害 虫 ”， 也 许 一 个 软件 的 功能 达到 了 要 
求 ， 但 是 可 能 会 在 测试 或 者 是 正常 运行 时 出 现 异常 ， 因 此 需要 处 理 它们 。 


e 关于 优化 


debug 是 为 了 保证 程序 的 正确 性 ， 之 后 就 需要 考虑 程序 的 执行 效率 ， 对 于 存储 
资源 受 限 的 齿 入 式 系 统 ， 程 序 的 大 小 也 可 能 是 优化 的 对 象 。 


很 多 理论 性 的 东西 实在 没有 研究 过 ， 暂 且 不 说 吧 。 这 里 只 是 想 把 一 些 需 要 动手 

实践 的 东西 先 且 记录 和 总 结 一 下 ， 另 外 很 多 工具 在 这 里 都 有 提 到 和 罗列 ， 包 括 
Linux 内 核 调 试 相 关 的 方法 和 工具 。 关 于 更 详细 更 深入 的 内 容 还 是 建议 直接 看 
后 面 的 参考 资料 为 妙 。 


下 面 的 所 有 演示 在 如 下 环境 下 进行 


$ uname -a 

Linux falcon 2.6.22-14-generic #1 SMP Tue Feb 12 07:42:25 UTC 20 
08 i686 GNU/Linux 

$ echo $SHELL 

/bin/bash 

$ /bin/bash --version | grep bash 

GNU bash, version 3.2.25(1)-release (1486-pc-linux-gnu) 

$ gcc --version | grep gcc 

gcc (GCC) 4.1.3 20070929 (prerelease) (Ubuntu 4.1.2-16ubuntu2) 
$ cat /proc/cpuinfo | grep "model name" 

model name : Intel(R) Pentium(R) 4 CPU 2.80GHzZ 


代码 测试 


代码 测试 有 很 多 方面 ， 例 如 运行 时 间 、 函 数 调 用 关系 图 、 代 码 覆 盖 度 、 性 能 分 析 

(Profiling) 、 内 存 访 问 越界 (Segmentation Fault) 、 缓 冲 区 溢出 (Stack 
Smashing 合法 地 进行 非法 的 内 存 访问 ? 所 以 很 危险 ) 、 内 存 泄 露 (Memory 
Leak) 等 。 


测试 程序 的 运行 时 间 time 


Shell 提供 了 内 置 命令 time 用 于 测试 程序 的 执行 时 间 ， 默 认 显 示 台 aes 
分 : 实际 花费 时 间 (realtime) 、 用 户 空间 花费 时 间 (user time) 和 内 核 空间 花费 
时 间 (kernel time) 。 


$ time pstree 2>&1 >/dev/null 


real Om0.024s 
user Om0.008s 
sys OMO. 004s 


time 命令 给 出 了 程序 本 身 的 运行 时 间 。 这 个 测试 原理 非常 简单 ， 就 是 在 程序 运 
47 (通过 system WAIT) 前 后 记录 了 系统 时 间 (用 times BR) ， 然 后 进 
行 求 差 就 可 以 。 如 果 程序 运行 时 间 很 短 ， 运 行 一 次 看 不 到 效果 ， 可 以 考虑 采用 测试 
纸 片 厚度 的 方法 进行 测试 ， 类 似 把 很 多 纸张 县 到 一 起 来 测试 纸张 厚度 一 样 ， 我 们 可 
以 让 程序 运行 很 多 次 。 


如 果 程 序 运 行 时 间 太 长 ， 执 行 效率 很 低 ， 那 么 得 考虑 程序 内 部 各 个 部 分 的 执行 情 
况 ， 从 而 对 代码 进行 可 能 的 优化 。 上 有 具体 可 能 会 考虑 到 这 两 点 


对 于 C 语言 程序 而 言 ， 一 个 比较 宏观 的 层次 性 的 轮廓 (profile) 是 函数 调用 图 、 
数 内 部 的 条 件 分 支 构 成 的 语句 块 ， 然 后 就 是 具 esa 。 把 握 好 这 样 一 个 轮 廊 后 
就 可 以 有 针对 性 地 去 关注 程序 的 各 个 部 分 ， 和 包括 哪 些 函 数 、 哪 些 分 支 、 哪 些 语 名 最 
值得 关注 (执行 次 数 越 多 越 值得 优化 ， 术 语 叫 hotspots) 。 


对 于 Linux 下 的 程序 而 言 ， 程 序 运行 时 涉及 到 的 代码 会 涵盖 两 个 空间 ， 即 用 户 空间 
和 内 核 空间 。 由 于 这 两 个 空间 涉及 到 地 址 空间 的 隔离 ， 在 测试 或 调试 时 ， 可 能 涉及 
到 两 个 空间 的 工具 。 前 者 绝 大 多 数 是 基于 Gcc 的 特定 参数 和 系统 的 ptrace W 
用 ， 而 后 者 往往 实现 为 内 核 的 补丁 ， 它 们 在 原理 上 可 能 类 似 ， 但 实际 操作 时 后 者 显 
然 会 更 麻烦 ， 不 过 如 果 你 不 去 hack 内 核 ， 那 么 往往 无 须 关 心 后 者 。 


HAAA K AKA calltree 


calltree 可 以 非常 简单 方便 地 反应 一 个 项 目的 函数 调用 关系 图 ， 虽 然 诸 如 
gprof 这 样 的 工具 也 能 做 到 ， 不 过 如 果 仅 仅 要 得 到 函数 调用 图 ， calltree 应 
该 是 更 好 的 选择 。 如 果 要 产生 图 形 化 的 输出 可 以 使 用 它 的 -dot 参数 。 从 这 里 可 
以 下 载 到 它 。 


这 里 是 一 份 基本 用 法 演示 结果 : 


$ calltree -b -np -m *.c 


close 
commitchanges 
err 
| fprintf 
ferr 


| 

| 

| 

| ftruncate 
| lseek 

| 


write 


getmemorysize 
modifyheaders 
open 
printf 
readelfheader 
| err 
| | fprintf 
| ferr 
| read 
readphdrtable 
err 
| fprintf 
ferr 
malloc 
read 


err 
| fprintf 
ferr 


| 

| 

| 

| 

| 
truncatezeros 
| 

| 

| 

| lseek 
| 


read$ 


这 样 一 份 结果 对 于 “ 反 向 工程 "应 该 会 很 有 帮助 ， 它 能 够 呈现 一 个 程序 的 大 体 结构 ， 
对 于 阅读 和 分 析 源 代码 来 说 是 一 个 非常 好 的 选择 。 虽 然 cscope 和 ctags 也 能 
够 提供 一 个 函数 调用 的 “即时 ”( 在 编辑 Vim 的 过 程 中 进行 调用 ) 视图 (view) ， 但 
是 calltree 却 给 了 我 们 一 个 宏观 的 视图 。 


不 过 这 样 一 个 视图 只 涉及 到 用 户 空间 的 函数 ， 如 果 想 进一步 给 出 内 核 空 间 的 宏观 视 
A> aA strace °> KFT 或 者 Ftrace 就 可 以 发 挥 它们 的 作用 。 另 外 ， 该 视图 
也 没有 给 出 库 中 的 函数 ， 如 果 要 跟踪 呢 ? 需要 1trace 工具 。 
另外 发 现 calltree 仅仅 给 出 了 一 个 程序 的 函数 调用 视图 ， 而 没有 告诉 我 们 各 个 
函数 的 执行 次 数 等 情况 。 如 果 要 关注 这 些 呢 ? 我 们 有 gprof ° 


性 能 测试 工具 gprof & kprof 


参考 资料 [3] 详 细 介 绍 了 这 个 工具 的 用 法 ， 这 里 仅 挑 选 其 中 一 个 例子 来 演 
示 。 gprof 是 一 个 命令 行 的 工具 ， 而 KDE 桌面 环境 下 的 kprof 则 给 出 了 图 形 
化 的 输出 ， 这 里 仅 演示 前 者 。 


首先 来 看 一 段 代码 (来 自 资料 [3]) > Æ Fibonacci 数列 的 ， 


#include <stdio.h> 


int fibonacci(int n); 


int main (int argc, char **argv) 


{ 
int fib; 
int n; 
for (n= 0; n <= 42; n++) { 
fib = fibonacci(n); 
printf("fibonnaci(%d) = %d\n", n, fib); 
} 
return 0; 
} 
int fibonacci(int n) 
{ 
int fib; 
if (n <= 0) { 
fib = 0; 
} else if (n == 1) { 
fib = 1; 
} else { 
fib = fibonacci(n -1) + fibonacci(n - 2); 
} 
return fib; 
} 


通过 calltree 看 看 这 段 代码 的 视图 ， 


$ calltree -b -np -m *.c 


main: 
| fibonacci 
| | fibonacci .... 
| printf 
可 以 看 出 程序 主要 涉及 到 一 个 fibonacci 函数 ， 这 个 函数 递归 调用 自己 。 为 了 


能 够 使 用 ee ， 需 要 编译 时 加 上 -pg O Gcc 加 入 相应 的 调试 信息 
以 便 gprof 能 够 产生 函数 执行 情况 的 报告 。 


$ gcc -pg -o fib fib.c 
$ ls 
fib fib.c 


运行 程序 并 查看 执行 时 间 ， 


$ time ./fib 
fibonnaci(0) = 
fibonnaci(1) 


ll 
NBR © 


fibonnaci(2) 
fibonnaci(3) = 


fibonnaci(41) = 165580141 
fibonnaci(42) = 267914296 


real 1m25.746s 
user 1m9.952s 

sys omo .072S 

$ ls 

fib fib.c gmon.out 


上 面 仅 仅 选 ee Oe 结果 ， 程 序 运 行 了 1 分 多 钟 ， 代 码 运 行 以 后 产生 了 一 个 
gmon.out 文件 ， 这 个 文件 可 以 用 于 gprof 产生 一 个 相关 的 性 能 报告 。 


$ gprof -b ./fib gmon.out 
Flat profile: 


Each sample counts as 0.01 seconds. 


% cumulative self self total 
time seconds seconds calls ms/call ms/call name 
96.04 14.31 14.31 43 332.80 332.80 fibonacci 
4.59 14.99 0.68 main 

Call graph 


granularity: each sample hit covers 2 byte(s) for 0.07% of 14.99 


seconds 
index % time self children called name 
<spontaneous> 
[1] 100.0 0.68 14.314 main [1] 
14.31 0.00 43/43 fibonacci [2] 
2269806252 fibonacci [2 
] 
14.31 0.00 43/43 main [1] 
[2] 95.4 14.31 0.00 43+2269806252 fibonacci [2] 
2269806252 fibonacci [2 
] 


Index by function name 


[2] fibonacci [1] main 
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2 oe 修改 之 后 ， 可 以 再 次 比较 程序 运行 时 间 ， 查 看 优化 结果 。 
这 份 结果 还 一 个 特别 有 用 的 东西 ， 那 就 是 程序 的 动态 函数 调用 情况 ， 即 程序 


行 过 程 中 实际 执行 过 的 函数 ， 这 和 calltree 产生 的 静态 调用 树 有 所 不 同 ， 它 能 
够 反应 程序 在 该 次 执行 过 程 中 的 函数 调用 情况 。 而 如 果 想 反应 程序 运行 的 某 一 时 刻 
调用 过 的 函数 ， 可 以 考虑 采用 gdb 的 backtrace 命令 。 


类 似 测 试纸 片 厚 度 的 方法 ， gprof 也 提供 了 一 个 统计 选项 ， 用 于 对 程序 的 多 次 运 
行 结果 进行 统计 。 另 外 ， gprof 有 一 个 KDE 下 图 形 化 接口 kprof ， 这 两 部 分 
请 参考 资料 [3] 。 


对 于 非 KDE 环境 ， 可 以 使 用 Gprof2Dot 把 gprof 输出 转换 成 图 形 化 结果 。 


关于 dot 格式 的 输出 ， 也 可 以 可 以 考虑 通过 dot 命令 把 结果 转 成 jpg 等 格 
式 ， 例 如 : 


$ dot -Tjpg test.dot -o test.jp 


gprof 虽然 给 出 了 函数 级 别 的 执行 情况 ， 但 是 如 果 想 关心 具体 哪些 条 件 分 支 被 执 
行 到 ， 哪 些 语句 没有 被 执行 ， 该 怎么 办 ? 


代码 履 盖 率 测 试 gcov & ggcov 


如 果 要 使 用 gcov ， 在 编译 时 需要 加 上 这 两 个 选项 -fprofile-arcs -ftest- 
coverage ， 这 里 直接 用 之 前 的 fib.c 做 演示 。 


$ 1s 

fib.c 

$ gcc -fprofile-arcs -ftest-coverage -o fib fib.c 
$ 1s 

fib fib.c fib.gcno 


运行 程序 ， 并 通过 gcov 分 析 代 码 的 覆盖 度 : 


$ ./fib 

$ gcov fib.c 

File 'fib.c' 

Lines executed:100.00% of 12 
fib.c:creating 'fib.c.gcov' 


12 行 代码 100% 被 执行 到 ， 再 查看 分 支 情况 ， 


$ gcov -b fib.c 

File 'fib.c' 

Lines executed:100.00% of 12 
Branches executed:100.00% of 6 
Taken at least once:100.00% of 6 
Calls executed:100.00% of 4 
fib.c:creating 'fib.c.gcov' 


发 现 所 有 元 数 ， 条 件 分 支 和 语句 都 被 执行 到 ， 说 明代 码 的 覆盖 率 很 高 ， 不 过 资料 [3] 
gprof 的 演示 显示 代码 的 覆盖 率 高 并 不 一 定 说 明代 码 的 性 能 就 好 ， 因 为 那些 被 履 
盖 到 的 代码 可 能 能 够 被 优化 成 性 能 更 高 的 代码 。 那 到 底 哪些 代码 值得 es 
行 次 数 最 多 的 ， 另 外 ， 有 些 分 支 虽 然 都 覆盖 到 了 ， 但 是 这 个 分 支 的 位 置 可 能 并 不 是 
理想 的 ， 如 果 一 个 分 支 的 内 容 被 执行 的 次 数 很 多 ， 那 么 和 
就 会 浪费 很 多 不 必要 的 比较 时 间 。 因 此 ， 通 过 复 盖 率 测 试 ， 可 以 尝 ee 
未 执行 过 的 代码 或 者 把 那些 执行 E 
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如 果 使 用 -fprofile-arcs -ftest-coverage 参数 编译 完 代 码 ， 可 以 接着 用 - 
fbranch-probabilities 参数 对 代码 进行 编译 ， 这 样 ， 编 译 器 就 可 以 对 根据 代码 
的 分 支 测试 情况 进行 优化 。 


$ wc -c fib 

16333 fib 

$ ls fib.gcda # 确 保 fib.gcda 已 经 生成 ， 这 个 是 运行 fib 后 的 结果 
fib.gcda 

$ gcc -fbranch-probabilities -o fib fib.c # 再 次 运行 

$ wc -c fib 

6604 fib 

$ time ./fib 


real Om21.686s 
user om18 .477S 
sys Om0.008s 


可 见 代码 量 减少 了 ， 而 且 执 行 效率 会 有 所 提高 ， 当 然 ， 这 个 代码 效率 的 提高 可 能 还 
跟 其 他 因素 有 关 ， 上 比如 Gcc 还 优化 了 一 些 跟 平台 相关 的 指令 。 


如 果 想 看 看 代码 中 各 行 被 执行 的 情况 ， 可 以 直接 看 fib.c.gcov 文件 。 这 个 文件 
的 各 列 依次 表示 执行 次 数 、 行 号 和 该 行 的 源 代 码 。 次 数 有 三 种 情况 ， 如 果 一 直 没 有 
执行 ， 那 么 用 #### 表示 ; 如 果 该 行 是 注释 、 函 数 声明 等 ， 用 - 表示 ;如果 是 
纯粹 的 代码 行 ， 那 么 用 执行 次 数 表示 。 这 样 我 们 就 可 以 直接 分 析 每 一 行 的 执行 情 
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gcov 也 有 一 个 图 形 化 接口 ggcov ， 是 基于 gtk+ 的 ， 适 合 Gnome 桌面 的 用 
ioe 
现在 都 已 经 关注 到 代码 行 了 ， 实 际 上 优化 代码 的 前 提 是 保证 代码 的 正确 性 ， 如 果 代 
码 还 有 很 多 bug， 那 么 先 要 debug。 不 过 下 面 的 这 些 "bug" 用 普通 的 工具 确实 不 太 
方便 ， 虽 然 可 能 ， 不 过 这 里 还 是 把 它们 归结 为 测试 的 内 容 ， 并 且 这 里 刚好 承接 上 
gcov 部 分 ， gcov 能 够 测试 到 每 一 行 的 代码 履 盖 情况 ， 而 无 论 是 内 存 访问 越 
界 、 缓 冲 区 溢出 还 是 内 存 泄露 ， 实 际 上 是 发 生 在 具体 的 代码 行 上 的 。 


内 存 访问 越界 catchsegv, libSegFault.so 


"Segmentation fault" 是 很 头痛 的 一 个 问题 ， 估 计 “ 纠 缠 ” 过 很 多 人 。 这 里 仅仅 演示 通 
过 catchsegv 脚本 测试 段 错误 的 方法 ， 其 他 方法 见 后 面相 关 资 料 。 


catchsegv 利用 系统 动态 链接 的 PRELOAD 机 制 (请 参考 man 1d-linux ) ， 
把 库 /lib/libSegFault.so 提前 load 到 内 存 中 ， 然 后 通过 它 检 查 程序 运行 过 程 
中 的 段 错误 。 


$ cat test.c 
#include <stdio.h> 


int main(void) 


{ 
char str[10]; 
sprintf (str, "%s", 111); 
printf ("str = %s\n", str); 
return 0; 
} 


$ make test 

$ LD_PRELOAD=/lib/libSegFault.so ./test ##¥F]fcatchsegv ./test 
*** Segmentation fault 

Register dump: 


EAX: 0000006f EBX: b7eecff4 ECX: 00000003 EDX: 0000006f 
ESI: 0000006f EDI: 0804851c EBP: bff9a8a4 ESP: bff9a27c 


EIP: b7e1755b EFLAGS: 00010206 
CS: 0073 DS: 007b ES: 007b FS: 0000 GS: 0033 SS: 007b 


Trap: 0000000e Error: 00000004 OldMask: 00000000 
ESP/signal: bff9a27c CR2: 0000006f 


Backtrace: 

/lib/libSegFault .so[0xb7f0604f] 

[Oxffffe420] 
/lib/tls/i686/cmov/libc.so.6(vsprintf+0x8c ) [Oxb7e0233c | 
/lib/tls/i686/cmov/libc.so.6(sprintf+0x2e ) [Oxb7ded9be ] 

./test [0x804842b ] 
/lib/tls/i686/cmov/libc.so.6(__libc_start_main+0xeO) [0xb7dbd050 ] 
./test[0x8048391 ] 





人 结果 中 可 以 看 出 ， 代 码 的 sprintf 有 问题 。 经 过 检查 发 现 它 把 整数 当 字 符 串 输 
出 ， 对 于 字符 串 的 输出 ， 需 要 字符 串 的 地 址 作为 参数 ， 而 这 里 的 111 则 刚好 被 解 
释 成 了 字符 串 的 地 址 ， 因 此 sprintf 试图 访问 111 这 个 地 址 ， 从 而 发 生 了 非 
法 访问 内 存 的 情况 ， 出 现 “Segmentation Fault” ° 


缓冲 区 溢出 libsafe.so 


缓冲 区 溢出 是 堆栈 溢出 (Stack Smashing) ， 通 常 发 生 在 对 函数 内 的 局 部 变量 进行 
赋值 操作 时 ， 超 出 了 该 变量 的 字 节 长 度 而 引起 对 栈 内 原 有 数据 《比如 eip > ebp 

+) 的 覆盖 ， 从 而 引发 内 存 访问 越界 ， 其 至 执行 非法 代码 ， 导 致 系统 崩溃 。 关 于 缕 
冲 区 的 详细 原理 和 实例 分 析 见 《缓冲 区 溢出 与 注入 分 析 》。 这 里 仅仅 演示 该 资料 中 
提 到 的 一 种 用 于 检查 缓冲 区 溢出 的 方法 ， 它 同样 采用 动态 链接 的 PRELOAD 机 制 提 
前 装载 一 个 名 叫 libsafe.so 的 库 ， 可 以 从 这 里 获取 它 ， 下 载 后 ， 再 解压 ， 编 
译 ， 得 到 libsafe.so ， 


下 面 ， 演 示 一 个 非常 简单 的 ， 但 可 能 存在 缓冲 区 溢出 的 代码 ， 并 演示 
libsafe.so 的 用 法 。 


$ cat test.c 

$ make test 

$ LD_PRELOAD=/path/to/libsafe.so ./test ABCDEFGHIJKLMN 
ABCDEFGHIJKLMN 

*** stack smashing detected ***: ./test terminated 
Aborted (core dumped) 


资料 [7] 分 析 到 ， 如 果 不 能 够 对 绥 冲 区 溢出 进行 有 效 的 处 理 ， 可 能 会 存在 很 多 潜在 的 
危险 。 虽 然 libsafe.so 采用 函数 替换 的 方法 能 够 进行 对 这 类 Stack Smashing 
进行 一 定 的 保护 ， 但 是 无 法 根本 解决 问题 ，alert7 大 是 在 资料 [10] 中 提出 了 突破 它 
的 办 法 ， 资 料 1111] 提 出 了 另外 一 种 保护 机 制 。 


内 存 泄 露 Memwatch, Valgrind, mtrace 


堆栈 通常 会 被 弄 在 一 起 叫 ， 不 过 这 两 个 名 词 却 是 指 进 程 的 内 存 映 像 中 的 两 个 不 同 的 
分 ， 栈 (Stack) 用 于 元 数 的 参数 传递 、 局 部 变量 的 存储 等 ， 是 系统 自动 分 配 和 
回收 的 ; 而 堆 (heap) 则 是 用 户 通 过 malloc 等 方式 申请 而 且 需 要 用 户 自己 通过 
free 释放 的 ， 如 果 申 请 的 内 存 没 有 释放 ， 那 么 将 导致 内 存 泄 露 ， 进 而 可 能 导致 


堆 的 空间 被 用 尽 ; 而 如 果 已 经 释放 的 内 存 再 次 被 释放 〈double-free) 则 也 会 出 现 非 
法 操作 。 如 果 要 费 正 理解 堆 和 栈 的 区 别 ， 需 要 理解 进程 的 内 存 映像 ， 请 参考 《缓冲 
区 溢出 与 注入 分 析 》 

这 里 演示 通过 Memwatch 来 检测 程序 中 可 能 存在 内 存 泄 露 ， 可 以 从 这 里 下 载 到 这 
个 工具 。 使 用 这 个 工具 的 方式 很 简单 ， 只 要 把 它 链接 (ld) 到 可 执行 文件 中 去 ， 并 
在 编译 时 加 上 两 个 宏 开关 -DMEMWATCH -DMW_STDIO 。 这 里 演示 一 个 简单 的 例子 。 


$ cat test.c 
#include <stdlib.h> 
#include <stdio.h> 
#include "memwatch.h" 


int main(void) 
{ 
char *ptr1; 
char *ptr2; 


ptri = malloc(512); 
ptr2 = malloc(512); 


ptr2 = ptri,; 
free(ptr2); 
free(ptr1); 
} 
$ gcc -DMEMWATCH -DMW_STDIO test.c memwatch.c -o test 
$ cat memwatch. log 
============= MEMWATCH 2.71 Copyright (C) 1992-1999 Johan Lindh 


Started at Sat Mar 1 07:34:33 2008 


Modes: __STDC__ 32-bit mwDWORD==(unsigned long) 
mwROUNDALLOC==4 sizeof(mwData)==32 mwDataSize==32 


double-free: <4> test.c(15), 0x80517e4 was freed from test.c(14) 


Stopped at Sat Mar 1 07:34:33 2008 


unfreed: <2> test.c(11), 512 bytes at 0x8051a14 {FE FE F 
ES EESEES EESEE FES EES FES EE EE TEEN FE SEENE RE erent: } 


Memory usage statistics (global): 
N)umber of allocations made: 2 
L)argest memory usage : 1024 
T)otal of all alloc() calls: 1024 
U)nfreed bytes totals 1512 


过 测试 ， 可 以 看 到 有 一 个 512 字 节 的 空间 没有 被 释放 ， 而 另外 512 字 节 空间 却 
a (double-free) 。 Valgrind 和 mtrace 也 可 以 做 类 似 的 工 
作 ， 请 参考 资料 [4]，[5] 和 mtrace 的 手册 。 


代码 调试 


调试 的 方法 很 多 ， 调 试 往往 要 跟踪 代码 的 运行 状态 ， printf 是 最 基本 的 办 法 ， 
然后 呢 ? 静态 调试 方法 有 哪些 ， 非 交互 的 呢 ? 非 实时 的 有 哪些 ? 实时 的 呢 ? 用 于 调 
试 内 核 的 方法 有 哪些 ? 有 哪些 可 以 用 来 调试 汇编 代码 呢 ? 


静态 调试 : printf + gcc -D (打印 程序 中 的 变量 ) 


利用 Gcc 的 宏 定义 开关 ( -D ) 和 printf 函数 可 以 跟踪 程序 中 某 个 位 置 的 状 
态 ， 这 个 状态 包括 当前 一 些 变量 和 寄存 器 的 值 。 调 试 时 需要 用 -D 开关 进行 纺 


译 ， 在 正式 发 布 程序 时 则 可 把 -D 开关 去 掉 。 这 样 做 比 单纯 用 printf 方便 很 
多 ， 它 可 以 避免 清理 调试 代码 以 及 由 此 带 来 的 代码 误 删 除 等 问题 。 


$ cat test.c 
#include <stdio.h> 
#include <unistd.h> 


int main(void) 
{ 


int i = 0; 


#ifdef DEBUG 
printf("i = %d\n", i); 


int t; 
_asm _ volatile _ ("movl %%ebp, %0;":"=r"(t)::"%ebp") 


printf ("ebp = Ox%x\n", t); 


#endif 
_exit(0); 
} 
$ gcc -DDEBUG -g -o test test.c 
$ ./test 
i=0 


ebp = Oxbfb56d98 
上 面 演示 了 如 何 跟 踪 普通 变量 和 寄存 器 变量 的 办 法 。 跟 踪 寄 存 器 变量 采用 了 内 联 汇 
不 过 ， 这 种 方式 不 够 灵活 ， 我 们 无 法 “即时 ”获取 程序 的 执行 状态 ， 而 gdb 等 交互 
式 调试 工具 不 仅 解决 了 这 样 的 问题 ， 而 且 通 过 把 调试 器 拆 分 成 调试 服务 器 和 调试 容 
户 端 适 应 了 上 肉 入 式 系统 的 调试 ， 另 外 ， 通 过 预先 设置 断 点 以 及 断 点 处 需要 收集 的 程 
序 状 态 信息 解决 了 交互 式 调试 不 适应 实时 调试 的 问题 。 


交互 式 的 调试 (动态 调试 ) : gdb (支持 本 地 和 远 
程 ) Jald (汇编 指令 级 别 的 调试 ) 


RAK ABRAW IX ZF k gdbserver/gdb 


估计 大 家 已 经 非常 熟悉 GDB (Gnu DeBugger) 了 ， 所 以 这 里 并 不 介绍 常规 的 
gdb 用 法 ， 而 是 介绍 它 的 服务 器 客户 ( gdbserver/gdb ) 调试 方式 。 这 种 方 
式 非 常 适 合 瞬 入 式 系统 的 调试 ， 为 什么 呢 ? 先 来 看 看 这 个 : 


$ we -c /usr/bin/gdbserver 

56000 /usr/bin/gdbserver 

$ which gdb 

/usr/bin/gdb 

$ wc -c /usr/bin/gdb 

2557324 /usr/bin/gdb 

$ echo "(2557324-56000)/2557324" | bc -1 
.97810210986171482377 


gdb Ht gdbserver 大 了 将 近 97%， 如 果 把 整个 gdh MAAK EA CROOK 
入 式 系统 中 是 很 不 合适 的 ， 不 过 仅仅 5K 左右 的 gdbserver 即使 在 只 有 8M 
Flash 卡 的 评 入 式 系 统 中 也 都 足够 了 。 所 以 在 诅 入 式 开发 中 ， 我 们 通常 先 在 本 地 主 
机 上 交叉 编译 好 gdbserver/gdb ° 


如 果 是 初次 使 用 这 种 方法 ， 可 能 会 遇 到 麻烦 ， 而 麻烦 通常 发 生 在 交 又 编译 gdb 和 
gdbserver 时 。 在 编译 gdbserver/gdb 前 ， 需 要 配置 (./configure) 两 个 重要 的 
选项 : 


e --host ， 指 定 gdb/gdbserver 本 身 的 运行 平台 ， 
e --target ， 指 定 gdb/gdbserver 调试 的 代码 所 运行 的 平台 > 


关于 运行 平台 ， 通 过 $MACHTYPE 环境 变量 就 可 获得 ， 对 于 gdbserver ， 因 为 
要 把 它 复 制 到 这 入 式 目标 系统 上 ， 并 且 用 它 来 调试 目标 平台 上 的 代码 ， 因 此 需要 把 
--host 和 --target 都 设置 成 目标 平台 ;而 gdb 因为 还 是 运行 在 本 地 主机 
上 ， 但 是 需要 用 它 调试 目标 系统 上 的 代码 ， 所 以 需要 把 --target 设置 成 目标 平 
A 
编译 完 以 后 就 是 调试 ， 调 试 时 需要 把 程序 交叉 编译 好 ， 并 把 二 进 制 文件 复制 一 份 到 
目标 系统 上 ， 并 在 本 地 需要 保留 一 份 源 代码 文件 。 调 试 过 程 大 体 如 下 ， 首 先 在 目标 
系统 上 启动 调试 服务 器 : 


$ gdbserver :port /path/to/binary_file 


然后 在 本 地 主机 上 启动 gdb 客 户 端 链接 到 gdb 调试 服务 器 ， 
( gdbserver_ipaddress 是 目标 系统 的 IP 地 址 ， 如 果 目 标 系统 不 支持 网 络 ， 那 
么 可 以 采用 串口 的 方式 ， 具 体 看 手册 ) 


$ gdb -q 
(gdb) target remote gdbserver_ipaddress:2345 


其 他 调试 过 程 和 普通 的 gdb 调 试 过 程 类 似 。 


汇编 代码 的 调试 ald 


用 gdb 调试 汇编 代码 貌似 会 比较 麻烦 ， 不 过 有 人 正 是 因为 这 个 原因 而 开发 了 一 个 
专门 的 汇编 代码 调试 器 ， 名 字 就 叫做 assembly language debugger ， 简 称 
ald ， 你 可 以 从 这 里 下 载 到 。 


下 载 后 ， 解 压 编译 ， 我 们 来 调试 一 个 程序 看 看 。 


这 里 是 一 段 非常 简短 的 汇编 代码 : 


.global _start 

_start: 
popl %ecx 
popl %ecx 
popl %ecx 
movb $10, 12(%ecx) 
xorl %edx, %edx 
movb $13, %d1 
xorl %eax, %eax 
movb $4, %al 
xorl %ebx, %ebx 
int $0x80 
xorl %eax, %eax 
incl %eax 
int $0x80 


汇编 、 链 接 、 运 行 : 


$ as -o test.o test.s 
$ ld -o test test.o 

$ ./test "Hello World" 
Hello World 


查看 程序 的 入 口 地 址 : 


$ readelf -h test | grep Entry 
Entry point address: 0x8048054 


接着 用 ald 调试 : 


$ ald test 

ald> display 

Address 0x8048054 added to step display list 
ald> n 


eax = 0x00000000 ebx = Ox00000000 ecx = Ox00000001 edx = Ox00000 

000 

esp = OxBFBFDEB4 ebp = 0x00000000 esi = Ox00000000 edi = Ox00000 

000 

ds = ©x007B es = 0x007B fs = 0x0000 gs = 0x0000 

SS = 0x007B cs = Ox0073 eip = 0x08048055 eflags = 0x00200292 

Flags: AF SF IF ID 

Dumping 64 bytes of memory starting at 0x08048054 in hex 

08048054: 59 59 59 C6 41 OC OA 31 D2 B2 OD 31 CO BO 04 31 YY 

Noi Ne aa AET, 

08048064: DB CD 80 31 CO 40 CD 80 00 2E 73 79 6D 74 61 62 

.1.@....symtab 

08048074: 00 2E 73 74 72 74 61 62 00 2E 73 68 73 74 72 74 

strtab..shstrt 

08048084: 61 62 00 2E 74 65 78 74 00 00 00 00 00 00 00 00 ab 
TEXT eee 

08048055 59 pop ecx 


可 见 ald 在 启动 时 就 已 经 运行 了 被 它 调 试 的 ”test 程序， 并 且 进 入 了 程序 的 入 
口 @x8048054 ， 紧 接着 单 步 执行 时 ， 就 执行 了 程序 的 第 一 条 指令 popl ecx ° 


ald 的 命令 很 少 ， 而 且 跟 gdb 很 类 似 ， 比 如 这 个 几 个 命令 用 法 和 名 字 都 类 似 
help, next, continue, set 

args, break, file, quit, disassemble, enable, disable 等 。 名 字 不 大 一 样 但 功 
能 对 等 的 有 : examine 对 x ，enter 对 set variable {int} 地 址 = 数据 。 


需要 提 到 的 是 : Linux 下 的 调试 器 包括 上 面 的 gdb 和 ald ， 以 及 strace 等 
都 用 到 了 Linux 系统 提供 的 ptrace() 系统 调用 ， 这 个 调用 为 用 户 访 问 内 存 映 像 提 供 
了 便利 ， 如 果 想 自己 写 一 个 调试 器 或 者 想 hack 一 下 gdb 和 ald ， 那 么 好 好 阅读 
资料 12 和 man ptrace 吧 。 


如 果 确 实 需 要 用 gdb 调 试 汇编 ， 可 以 参考 : 


e Linux Assembly "Hello World" Tutorial, CS 200 
e Debugging your Alpha Assembly Programs using GDB 


实时 调试 : gdb tracepoint 


对 于 程序 状态 受 时 间 影响 的 程序 ， 用 上 述 普 通 的 设置 断 点 的 交互 式 调试 方法 并 不 合 
A A cen 迟 和 用 户 答 入 命令 的 时 延 而 完全 改变 
序 的 行为 。 所 以 gdb 提出 了 一 种 方法 以 便 预 先 设置 断 点 以 及 在 断 点 处 需要 获取 

nes ， 从 而 让 调试 器 自动 执行 断 点 处 的 动作 ， 获 取 程 序 的 状态 ， 从 而 避免 在 

断 点 处 出 现 人 机 交互 产生 时 延 改变 程序 的 行为 。 


这 种 方法 叫 tracepoints (对 应 breakpoint ) ， 它 在 gdh 的 用 户 手册 里 头 
有 详细 的 说 明 ， 见 Tracepoints 。 


在 内 核 中 ， 有 实现 了 相应 的 支持 ， 叫 KGTP 。 
调试 内 核 
虽然 这 里 并 不 会 演示 如 何 去 hack 内 核 ， 但 是 相关 的 工具 还 是 需要 简单 提 到 的 ， 


个 资料 列 出 了 绝 大 部 分 用 于 内 核 调试 的 工具 ， 这 些 对 你 hack we 
ne 


代码 优化 


这 部 分 暂时 没有 准备 足够 的 素材 ， 有 待 进一步 完善 。 
暂且 先 提 到 两 个 比较 重要 的 工具 ， 一 个 是 Oprofile， 另 外 一 个 是 Perf 。 


实际 上 呢 ?3 "代码 测试 "部 分 介绍 的 很 多 工具 是 为 代码 优化 服务 的 ， 更 多 具体 的 细节 
请 参考 后 续 资 料 ， 自 己 做 实验 吧 。 


参考 资料 


e VERIFICATION AND VALIDATION 
e difference between verification and Validation 
e Coverage Measurement and Profiling( 履 盖 度 测量 和 性 能 测试 ,Gcov and 
Gprof) 
e Valgrind Usage 
o Valgrind HOWTO 
o Using Valgrind to Find Memory Leaks and Invalid Memory Use 
e MEMWATCH 
e Mastering Linux debugging techniques 
e Software Performance Analysis 
e Runtime debugging in embedded systems 
e 绕 过 libsafe 的 保护 -- 履 盖 dl lookup_versioned symbol 技术 
e 介绍 Propolice 怎 样 保护 stack-smashing 的 攻击 
e Tools Provided by System : ltrace,mtrace,strace 
e Process Tracing Using Ptrace 
e Kernel Debugging Related Tools : KGDB, KGOV, KFI/KFT/Ftrace, GDB 
Tracepoint > UML, kdb 
e 用 Graphviz 可 视 化 函数 调用 
e Linux 段 错误 详解 
© 源码 分 析 之 函数 调用 关系 绘制 系列 
o 源码 分 析 : 静态 分 析 C 程序 函数 调用 关系 图 
o 源码 分 析 : 动态 分 析 C 程序 函数 调用 关系 
o 源码 分 析 : 动态 分 析 Linux A 4% HAA KA 
o 源码 分 析 : 函数 调用 关系 绘制 方法 与 逆向 建 模 
e Linux 下 缓冲 区 溢出 攻击 的 原理 及 对 策 
e Linux 汇编 语言 开发 指南 
© 缓冲 区 溢出 与 注入 分 析 ( 第 一 部 分 : 进程 的 内 存 映像 ) 
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